La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: nivek1612 le 31 juillet 2018 à 15:42:01
-
OPNsense prend désormais en charge IPv4 et IPv6 sans avoir besoin de remplacer les binaires
Voici comment installer
https://docs.opnsense.org/manual.html
et configurer pour Orange Internet
https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html
et le TV
https://docs.opnsense.org/manual/how-tos/orange_fr_tvf.html
Merci @hiigaraa pour la mise à jour des guides
-
tres cool ca. je mets dans l'index global!
-
OPNsense version 18.7 prend désormais en charge IPv4 et IPv6 sans avoir besoin de remplacer les binaires
Voici comment installer
https://docs.opnsense.org/manual.html
et configurer pour Orange
https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html
Un grand merci nivek1612.
Je suis justement tombé sur le fork de pfsense cette aprem. Je me demandais si justement il y avait la possibilité de configurer un accès de type fibre orange (pro (pppoe) et particulier (dhcp ipv4/6)).
Je vois grâce à toi que c'est possible et même en avance sur pfsense 2.4.x (toujours obligé de changer les binaire ...) car malgré les demandes de fork pour les options des dhcp client, ils n'ont toujours pas été intégré.
Je suppose que tu es passé sur OPNsense pour des raisons qui te sont propre.
Ne connaissant pas OPNsense, pourrais-tu me faire un rapide état des lieux et de la raison pour laquelle tu as switcher dessus ?
Et quid des perf vs pfsense ?
PS: merci aussi à kgersen
, sans quoi je ne serais pas tombé sur l'info ;)
-
Je suis passé à OPNsense en raison de l'attitude des modérateurs. Il est également clair que NetGate veut commercialiser pfSense.
fois le changement effectué, l'équipe d'OPNsense a travaillé avec moi pour obtenir les modifications nécessaires à la version.
C’est comme la nuit et le jour
-
Bonjour Nivek,
Merci d'avoir apporté un vrai plus à OPNSense ;). Tu avais déjà beaucoup contribué à améliorer pfSense jusqu'à présent.
Ça faisait un moment que je voyais un vrai suivi du développement et de nombreuses améliorations apportées à chaque version d'OPNsense mais vu les difficultés que nous offrait Orange pour se connecter en DHCP, j'ai continué jusqu'à maintenant sur pfSense que je connaissais :P.
Le passage à OPNsense ce weekend s'est plutôt bien passé ;D et j'ai été agréablement surpris par la gestion des options d'authentification DHCP qui est beaucoup plus simple sur OPNsense. En gros pas besoin de faire un dump de la trame de la Livebox pour envoyer son login. Il suffit toujours d'utiliser le lien fort utile https://jsfiddle.net/kgersen/45zudr15/embedded/result/ (https://jsfiddle.net/kgersen/45zudr15/embedded/result/) pour obtenir le format de l'option 11 et 90 suivant la version de DHCP.
J'ai d'emblée testé le package Let's Encrypt dans la foulée. On perd juste la possibilité de configurer manuellement la vérification DNS mais cela m'a permis de consolider son fonctionnement. J'en profite d’ailleurs pour recommander aux testeurs en herbe de déposer un nom de domaine sur Freenom gratuitement et de déléguer la gestion DNS au services de LuaDNS. Le passage par leur API permet à Let's Encrypt de fonctionner de manière entièrement automatisée pour pas un rond 8).
Je pense que je vais enfin chercher du vrai matos pour remplacer définitivement la Livebox. Si il y en a qui peuvent me donner un avis sur ce type de matos https://www.atminga.com/en/systems/superserver/box-pc-solutions/supermicro-superserver-e50-9ap-wifi/sys-e50-9ap-wifi-mx98dc.htm (https://www.atminga.com/en/systems/superserver/box-pc-solutions/supermicro-superserver-e50-9ap-wifi/sys-e50-9ap-wifi-mx98dc.htm). Il faudrait qu'il puisse faire tourner l'IDS Suricata d'OPNsense sans ramer.
-
i5 ou i7 c’est parfait
https://m.aliexpress.com/item/32799048185.html?pid=808_0000_0101&spm=a2g0n.search-amp.list.32799048185& (https://m.aliexpress.com/item/32799048185.html?pid=808_0000_0101&spm=a2g0n.search-amp.list.32799048185&)
-
Je suis passé de pfsense 2.4.3 à opnsens (la derniere version en x.7). C'était plutôt smouth. Par contre, une fois sur deux, je ne récup pas d'IP v6. J'ai semble-t-il pas mal de problème avec l'IPV6 depuis le passage à opnsense.
Des idées ?
-
Dans certains cas extrêmes, quelques problèmes seront résolus la semaine prochaine avec la version 18.7.1
ou vous pouvez appliquer ces patchs
7e01cd7
Les fichiers de configuration Radvd et / ou dhcpd6 n'étaient pas mis à jour.
1ccafed
Était à l'origine de la mauvaise valeur de délégation de préfixe à donner au sous-routeur
-
appliquer un patch
https://wiki.opnsense.org/manual/opnsense_tools.html
-
@mastah les patchs ont-ils aidé?
-
Je test ça dans 5mins. Je pourrais constater l'amélioration sur la durée car c'était aléatoire
-
Bonjour Nivek,
Merci d'avoir apporté un vrai plus à OPNSense ;). Tu avais déjà beaucoup contribué à améliorer pfSense jusqu'à présent.
Ça faisait un moment que je voyais un vrai suivi du développement et de nombreuses améliorations apportées à chaque version d'OPNsense mais vu les difficultés que nous offrait Orange pour se connecter en DHCP, j'ai continué jusqu'à maintenant sur pfSense que je connaissais :P.
Le passage à OPNsense ce weekend s'est plutôt bien passé ;D et j'ai été agréablement surpris par la gestion des options d'authentification DHCP qui est beaucoup plus simple sur OPNsense. En gros pas besoin de faire un dump de la trame de la Livebox pour envoyer son login. Il suffit toujours d'utiliser le lien fort utile https://jsfiddle.net/kgersen/45zudr15/embedded/result/ (https://jsfiddle.net/kgersen/45zudr15/embedded/result/) pour obtenir le format de l'option 11 et 90 suivant la version de DHCP.
J'ai d'emblée testé le package Let's Encrypt dans la foulée. On perd juste la possibilité de configurer manuellement la vérification DNS mais cela m'a permis de consolider son fonctionnement. J'en profite d’ailleurs pour recommander aux testeurs en herbe de déposer un nom de domaine sur Freenom gratuitement et de déléguer la gestion DNS au services de LuaDNS. Le passage par leur API permet à Let's Encrypt de fonctionner de manière entièrement automatisée pour pas un rond 8).
Je pense que je vais enfin chercher du vrai matos pour remplacer définitivement la Livebox. Si il y en a qui peuvent me donner un avis sur ce type de matos https://www.atminga.com/en/systems/superserver/box-pc-solutions/supermicro-superserver-e50-9ap-wifi/sys-e50-9ap-wifi-mx98dc.htm (https://www.atminga.com/en/systems/superserver/box-pc-solutions/supermicro-superserver-e50-9ap-wifi/sys-e50-9ap-wifi-mx98dc.htm). Il faudrait qu'il puisse faire tourner l'IDS Suricata d'OPNsense sans ramer.
Pourrais tu donner plus d'info sur la procédure pour utiliser Freenom et LuaDNS stp ?
-
@mastah les patchs ont-ils aidé?
Pour info, après avoir patcher les deux patch puis rebooté, j'ai effectivement obtenu une IPV6. Par contre après environ 4-5hrs, je viens de m’apercevoir que le lien IPV6 était HS.
-
qu'est-ce que tu veux dire quand tu dis que l'IPv6 était HS? de quelle façon?
-
Pourrais tu donner plus d'info sur la procédure pour utiliser Freenom et LuaDNS stp ?
mieux vaut demander ici
https://forum.opnsense.org/index.php?board=5.0
-
Pourrais tu donner plus d'info sur la procédure pour utiliser Freenom et LuaDNS stp ?
Bonjour,
Je ne pense pas que ce soit le meilleur sujet pour développer cela mais il s'agit tout de même d'une finalité liée à OPNsense à savoir l'utilisation de Let's Encrypt :-\
Donc commençons par réserver un domaine sur Freenom (à renouveler 1 fois par an).
Se rendre sur http://www.freenom.com (http://www.freenom.com) et réserver un nom de domaine via la barre de recherche.
L'assistant de création demande d'ajouter une première IP à son domaine mais pas obligé de rentrer une valeur correcte. L'idée est d'utiliser le site de Freenom comme simple bureau d'enregistrement de nom de domaine pour obtenir par exemple domaine-exemple.tk.
Une fois enregistré, nous allons déléguer la gestion du domaine déposé à LuaDNS qui dispose d'API compatibles avec Let's Encrypt.
Pour cela, il faut créer dans un premier temps un compte sur LuaDNS via https://api.luadns.com/signup (https://api.luadns.com/signup)
Une fois le compte créé, nous pouvons relever les DNS sous Names Servers depuis le Dashboard de LuaDNS.
Nous allons enregistrer ces valeurs dans l'interface de Freenom.
Sur Freenom, se rendre dans Services / My Domains puis sur la ligne du domaine Manage Domain
Une fois la page d'information affichée, ouvrir l'onglet Management Tools / Nameservers puis sélectionner Use custom nameservers (enter below) et rentrer les DNS relevés précédemment. Nous avons terminé les actions sur Freenom
Sur LuaDNS, une fois connecté à son compte, ouvrir en haut à droite Zones puis dans le champs de saisie domain name ajouter son nom de domaine. Pour notre exemple domaine-exemple.tk
Nous pouvons ensuite cliquer sur le domaine ajouté et voir les premières valeurs SOA et NS enregistrées. Elles sont à conserver.
Cliquer sur edit en bas à droite et ajouter un champs A pour renseigner son IPV4 fixe assignée au WAN et AAAA pour enregistrer l'IPV6 assignée au LAN d'OPNsense.
Une astuce utilisée par beaucoup de site web -> renseigner un champ A ou AAAA sans host name pointant directement sur son IP fixe et ajouter un CNAME par exemple WWW pointant sur domaine-exemple.tk. Ne pas oublier le point à la fin. Ceci permet de modifier un champs unique en cas de changement d'adresse IP. L'adresse www.domaine-exemple.tk étant un alias de la racine du domaine.
Il reste enfin à activer l'API de LuaDNS via l'onglet Account puis Enable API Access. Cliquer ensuite juste au dessus sur le bouton Show Token à configurer dans Let's Encrypt
Pour la partie configuration de Let's Encrypt sur OPNsense, commençons par ajouter le plugin via System / Firmware / Plugins et ajouter le plugin os-acme-client.
Une fois ajouté, se rendre sur la partie configuration située sous Services / Let's Encrypt.
Activer le service sous le menu Settings et laisser cocher Auto Renewal.
Sous Accounts, ajouter juste un nom et cocher la case Enabled
Sous Validation Methods prendre exemple ci-dessous en renseignant son adresse mail LuaDNS et le Token copié précédemment.
Sous Restart Actions prendre l'exemple ci-dessous.
Enfin créer le certificat à proprement parler en prenant soin d'avoir au moins le common name dupliqué dans le champs Alt Names comme ci-dessous (faire TAB pour enregistrer le Alt Names).
Il faut enfin lancer l'enregistrement du certificat via les Commands situées à droite de la ligne du certificat validé et cliquer sur renouveler comme illustré ci-dessous.
Il faut patienter un peu, Let's Encrypt va créer un nouveau champ TXT dans le DNS LuaDNS pour valider le nom de domaine et procéder à l'enregistrement du certificat. Un fois effectué voir ci-dessous le résultat obtenu.
-
qu'est-ce que tu veux dire quand tu dis que l'IPv6 était HS? de quelle façon?
En gros, plus d'IPV6 (perdu). J'ai stop / start l'interface WAN et j'ai du release/renew l'interface WAN pour obtenir de nouveau une ipV4 et IPV6. Même l'IPV4 n'était pas automatiquement rerecup.
Et ce soir idem, en démarrant mon routeur, pas d'IPV4 et V6. J'ai du stop / start l'interface. Cette fois ci, pas besoin de release/renew.
-
Perdre à la fois IPv4 et IPv6 est étrange. Pouvez-vous activer "dhpc6c debug" dans l'interface graphique et envoyer le fichier dhcpd logs. Je vais demander aux développeurs OPNsense de jeter un oeil
êtes-vous PPPoE ou DHCP pour ipv4?
-
DHCP
Je ferais ça ce soir
Pour le moment j'ai vu ça :
kernel: pid 31313 (dhcp6c), uid 0: exited on signal 11 (core dumped)
Et
Aug 9 19:46:18 opnsense: /interfaces.php: ROUTING: skipping IPv6 default route
Aug 9 19:46:18 opnsense: /interfaces.php: ROUTING: keeping current default gateway '86.252.XXX.XXX'
Aug 9 19:46:18 opnsense: /interfaces.php: ROUTING: setting IPv4 default route to 86.252.XXX.XXX
Aug 9 19:46:18 opnsense: /interfaces.php: ROUTING: no IPv6 default gateway set, assuming wan
Aug 9 19:46:18 opnsense: /interfaces.php: ROUTING: no IPv4 default gateway set, assuming wan
Aug 9 19:46:18 opnsense: /interfaces.php: ROUTING: entering configure using defaults
Aug 9 19:46:18 opnsense: /interfaces.php: The command '/bin/pkill -'HUP' 'php-cgi'' returned exit code '1', the output was ''
-
Bonjour,
Je ne pense pas que ce soit le meilleur sujet pour développer cela mais il s'agit tout de même d'une finalité liée à OPNsense à savoir l'utilisation de Let's Encrypt :-\
Donc commençons par réserver un domaine sur Freenom (à renouveler 1 fois par an).
Se rendre sur http://www.freenom.com (http://www.freenom.com) et réserver un nom de domaine via la barre de recherche.
L'assistant de création demande d'ajouter une première IP à son domaine mais pas obligé de rentrer une valeur correcte. L'idée est d'utiliser le site de Freenom comme simple bureau d'enregistrement de nom de domaine pour obtenir par exemple domaine-exemple.tk.
Une fois enregistré, nous allons déléguer la gestion du domaine déposé à LuaDNS qui dispose d'API compatibles avec Let's Encrypt.
Pour cela, il faut créer dans un premier temps un compte sur LuaDNS via https://api.luadns.com/signup (https://api.luadns.com/signup)
Une fois le compte créé, nous pouvons relever les DNS sous Names Servers depuis le Dashboard de LuaDNS.
Nous allons enregistrer ces valeurs dans l'interface de Freenom.
Sur Freenom, se rendre dans Services / My Domains puis sur la ligne du domaine Manage Domain
Une fois la page d'information affichée, ouvrir l'onglet Management Tools / Nameservers puis sélectionner Use custom nameservers (enter below) et rentrer les DNS relevés précédemment. Nous avons terminé les actions sur Freenom
Sur LuaDNS, une fois connecté à son compte, ouvrir en haut à droite Zones puis dans le champs de saisie domain name ajouter son nom de domaine. Pour notre exemple domaine-exemple.tk
Nous pouvons ensuite cliquer sur le domaine ajouté et voir les premières valeurs SOA et NS enregistrées. Elles sont à conserver.
Cliquer sur edit en bas à droite et ajouter un champs A pour renseigner son IPV4 fixe assignée au WAN et AAAA pour enregistrer l'IPV6 assignée au LAN d'OPNsense.
Une astuce utilisée par beaucoup de site web -> renseigner un champ A ou AAAA sans host name pointant directement sur son IP fixe et ajouter un CNAME par exemple WWW pointant sur domaine-exemple.tk. Ne pas oublier le point à la fin. Ceci permet de modifier un champs unique en cas de changement d'adresse IP. L'adresse www.domaine-exemple.tk étant un alias de la racine du domaine.
Il reste enfin à activer l'API de LuaDNS via l'onglet Account puis Enable API Access. Cliquer ensuite juste au dessus sur le bouton Show Token à configurer dans Let's Encrypt
Pour Let's Encrypt, ajouter un Account, une Validation Methods de type DNS et sélectionner LuaDNS API, sur Restart Action laisser Web UI et penser lors de la création de son certificat que le common name et premier Alt Names soient identiques.
Merci je vais essayer tout ça ce weekend.
-
DHCP
Je ferais ça ce soir
Pour le moment j'ai vu ça :
kernel: pid 31313 (dhcp6c), uid 0: exited on signal 11 (core dumped)
Et
Aug 9 19:46:18 opnsense: /interfaces.php: ROUTING: skipping IPv6 default route
Aug 9 19:46:18 opnsense: /interfaces.php: ROUTING: keeping current default gateway '86.252.XXX.XXX'
Aug 9 19:46:18 opnsense: /interfaces.php: ROUTING: setting IPv4 default route to 86.252.XXX.XXX
Aug 9 19:46:18 opnsense: /interfaces.php: ROUTING: no IPv6 default gateway set, assuming wan
Aug 9 19:46:18 opnsense: /interfaces.php: ROUTING: no IPv4 default gateway set, assuming wan
Aug 9 19:46:18 opnsense: /interfaces.php: ROUTING: entering configure using defaults
Aug 9 19:46:18 opnsense: /interfaces.php: The command '/bin/pkill -'HUP' 'php-cgi'' returned exit code '1', the output was ''
utilisez-vous le dhclient et dhcp6c fourni avec OPNsense 18.7?
-
Oui, aucune modification. J'ai installé et utilisé tel-quel.
Lorsque je ne parviens pas a obtenir une IPV6 après lancement du routeur, ou perte de l'IPV6 après plusieurs heures, j'ai ces erreurs et le service DHCP6 est stoppé et impossible à relancer (aucune log dans l'interface opnsense).
-
c'est très étrange je n'ai pas de problèmes. Voici le binaire dhcp6c de mon système. Essayez ceci et faites le moi savoir
-
c'est très étrange je n'ai pas de problèmes. Voici le binaire dhcp6c de mon système. Essayez ceci et faites le moi savoir
Tu as recompiler ton binaire ? Dans quel dossier ce place-t-il sur opnsense ?
-
/usr/local/sbin
c'est de la pré-version du développeur de 18.7
-
ignorez cela. Ce binaire ne fonctionnera pas pour vous. Je parle au développeur, nous avons une idée que nous partagerons plus tard.
-
OK
Toutes les entrées de journal de dhcp6c peuvent être vues dans Services-> DHCP4-> Logs.
Lorsque dhcp6c est en cours d'exécution, avant qu'il échoue, lancez SSH dans OPNsense, allez dans le shell (Option 8) et entrez:
# ps -auxw | grep dhcp6c
Vous obtiendrez la commande complète, copiez-la et enregistrez-la.
Ça devrait être comme ça:
/usr/local/sbin/dhcp6c -Dn -c /var/etc/dhcp6c_wan.conf -p /var/run/dhcp6c_igb0.pid igb0
Ajoutez l'option '-f' et faites-la fonctionner en avant-plan
/usr/local/sbin/dhcp6c -fDn -c /var/etc/dhcp6c_wan.conf -p /var/run/dhcp6c_igb0.pid igb0
Changez également votre interface car elle ne sera pas igb0
Maintenant, entrez cette chaîne dans le shell et dhcp6c devrait lancer
Laissez-le fonctionner et dites-nous ce qui se passe.
-
N'étant pas chez moi, j'essai ça demain après midi !
Tu veux que j'attende que le process soit kill automatiquement, ou tu veux que je kill -9 et lance à la main le binaire ?
-
Nous avons réfléchi davantage à cela. Essayez de remplacer dhcp6c par le binaire que je vous ai envoyé en premier. Je pense que cela va résoudre le problème. Si c'est le cas, nous pouvons alors procéder à d'autres analyses si nécessaire. Mais nous serons plus près de connaître le problème.
-
Je viens de trouver comment reproduire le souci.
Ce qu'il faut comprendre c'est que je n'ai pas de switch sur le LAN mais directement mon PC. Lorsque mon PC passe en standby (hibernation), la carte réseau se coupe. De faite, sur opnsense elle se met en down.
Lorsque le pc se rallume, l'interface LAN opnsense passe de down à up. Sur l'interface d'opnsense, je constat que dhcpd6 (DHCPv6 Server) est down et impossible à relancer.
/usr/local/sbin/dhcp6c pour sa part semble continuer à tourner sans erreur.
De même, si je lance opnsense sans lancer mon PC, l'interface LAN reste à down. Lorsque j'allume mon pc après plusieurs minutes, dhcpd6 est down et impossible d'avoir une IPV6.
Dans ces deux scénario, l'IPV4 fonctionne correctement.
-
alors si vous arrêtez le PC de dormir tout est bon?
-
Oui, sauf que normalement lorsque l'interface LAN passe de down à up on devrait récupérer le signal DHCP etc.
-
Comme OPNsense est généralement exécuté sur un appareil toujours allumé, il s’agit bien d’un avantage. Je pense que ce ne sera pas une solution prioritaire car vous êtes la seule personne à le signaler.
-
pouvez-vous partager un diagramme de votre configuration.
Par exemple le mien est
ONT ----> WAN port Qotom i5 (OPNSense) ----> LAN
-
ONT MC220L -> WAN port (PC minit-itx / i5) OPNsense -> LAN
Le problème n'était pas présent sur pfsense.
-
Nous avons essayé de laisser tomber le WAN ici et cela fonctionne bien. Nous suspectons donc un problème de pilote matériel. Quel est le modèle de votre carte réseau dans le PC?
-
Si vous recréez le problème, puis envoyez-nous le fichier /var/log/dhcpd.log, nous pouvons rechercher une solution
-
Bonjour, j'ai OPNsense 18.7.1 sur un deciso. J'ai suivi ce tuto à la lettre : https://wiki.opnsense.org/manual/how-tos/orange_fr_fttp.html
l'ipv4 fonctionne très bien mais je n'ai pas de réponse du serveur DHCPv6 d'orange pour l'ipv6. Je ne sais pas trop quoi faire ?
Voici mon DHCPv4 log :
https://pastebin.com/LQHuLNnz
nivek1612, j'ai discuté avec marjohn56 par rapport à ce problème. apparement tu pourrais m'aider. j'ai essayé en mettant la priorité à 0 mais ça ne change rien. pas de réponse du DHCP dans les logs
https://pastebin.com/H5HtGw6c
et ma config WAN https://screenshotscdn.firefoxusercontent.com/images/fab133a8-5e40-49a2-a791-a2d51938bbb9.png
-
nivek1612, j'ai discuté avec marjohn56 par rapport à ce problème. apparement tu pourrais m'aider. j'ai essayé en mettant la priorité à 0 mais ça ne change rien. pas de réponse du DHCP dans les logs
OK email moi
-
Nous avons essayé de laisser tomber le WAN ici et cela fonctionne bien. Nous suspectons donc un problème de pilote matériel. Quel est le modèle de votre carte réseau dans le PC?
Intel PRO/1000 PT Dual Port
Carte assez bien supporté : https://ark.intel.com/fr/products/50494/Intel-PRO1000-PT-Dual-Port-Server-Adapter
-
Intel PRO/1000 PT Dual Port
Carte assez bien supporté : https://ark.intel.com/fr/products/50494/Intel-PRO1000-PT-Dual-Port-Server-Adapter
pour progresser nous aurons besoin des logs pour dhcpd
-
Problème résolu avec la dernière mise à jour + une petite erreur de ma part. Je confirme que le tuto : https://wiki.opnsense.org/manual/how-tos/orange_fr_fttp.html
fonctionne parfaitement. OPNsense est excellent !
-
Problème résolu avec la dernière mise à jour + une petite erreur de ma part. Je confirme que le tuto : https://wiki.opnsense.org/manual/how-tos/orange_fr_fttp.html
fonctionne parfaitement. OPNsense est excellent !
Bienvenue dans le monde d'OPNsense
-
Bienvenue dans le monde d'OPNsense
ça vaut le coup de migrer d'un pfSense à un OPNSense (outre le fait que je vais passer 48h à écrire une centaine de règles)
Je me pose de plus en plus cette question parce que ce projet semble vraiment décoller
-
ça vaut le coup de migrer d'un pfSense à un OPNSense (outre le fait que je vais passer 48h à écrire une centaine de règles)
Je me pose de plus en plus cette question parce que ce projet semble vraiment décoller
Je ne peux que partager mon point de vue. OPNsense est beaucoup plus rapide pour travailler sur des problèmes d’utilisateur que pfSense dans mon expérience. De plus, pfSense semble se diriger vers une solution commerciale non ouverte
-
Je ne peux que partager mon point de vue. OPNsense est beaucoup plus rapide pour travailler sur des problèmes d’utilisateur que pfSense dans mon expérience. De plus, pfSense semble se diriger vers une solution commerciale non ouverte
On voit la même chose,
C'est ce qu'il me fait réfléchir à changer
Mais migrer de parefeu c'est vraiment compliqué, à moins que je prépare tout dans d'autres subnets et que je redonne les bons à la fin
-
ça vaut le coup de migrer d'un pfSense à un OPNSense (outre le fait que je vais passer 48h à écrire une centaine de règles)
Je me pose de plus en plus cette question parce que ce projet semble vraiment décoller
Ca donne envie en effet !!!
il faut prendre le temps ...
-
Je ne peux que partager mon point de vue. OPNsense est beaucoup plus rapide pour travailler sur des problèmes d’utilisateur que pfSense dans mon expérience. De plus, pfSense semble se diriger vers une solution commerciale non ouverte
Je suis totalement d'accord avec toi ! Pour avoir essayé les deux, le netflow de OPNSense est plutôt magique. Et aide vraiment à savoir ce qui se passe dans le firewall et le pourquoi du comment. Après j'aurais un avis un peu mitigé, mais peut être quelqu'un a-t-il une expérience plus compléte que moi. Pour ce que j'ai pu observer le système est largement plus ergonomique à manipuler et plus agréable.
Par contre il faudrait vraiment qu'ils mettent un coup de pinceau sur leur dashboard ... J'ai 7 réseaux différents et dans PFSense je garde la vue des Interfaces dans mon dashboard pour verifier les IP allouées et l'état de celles-ci, dans OPNSense, pas moyen de masquer une interface, pareil pour le Traffic Graph qui propose une vue superposée de chaque Interface.
Après il est sympa d'avoir vu des packages externes intégrés directement au système, je pense a l'export pour OpenVPN qui me viens à l'esprit.
Et d'un point de vue technique le inline IPS que repousse pfSense depuis quelques temps est présent dans OPNSense !
Pour ma part, un peu de praticité sur le dashboard et je risque de basculer ...
-
Pour ma part :
-vrai projet open source
-gestion du client dhcp pour supprimer la livebox en fibre
-communauté qui grandi et dev à l'écoute des utilisateurs
-développement des compatibilité hardware orienté user (ARM sur la roadmap) et non les produits vendu par Netgate.
C'est bon j'ai basculé.
Par contre je suis d'accord on a un peu de mal à se retrouver dans l'interface mais je ne sais pas si c'est une question d'habitude ou qu'elle est vraiment moins claire. Après le projet est beaucoup plus jeune que pfsense (2006 pour pfsense, 2015 pour OPNSense) donc laissons lui le temps de mûrir. En tout cas pour moi au niveau fonctionnel c'est top.
-
Il est possible de perdre IPv6 ce patch devrait le résoudre. Sera dans la prochaine version
#opnsense-patch 88f1cee
-
Bonjour à tous (ceci est 1er message sur lafibre.info, même si je lis depuis qq années),
Ce sujet m'a poussé à passer de pfsense à OPNsense, principalement pour la configuration d'une fibre orange qui est effectivement bien plus simple !
Merci pour l'info donc :)
Je n'ai pas réussi à récupérer d'ipv6 sur le WAN.
J'ai pourtant normalement bien suivi le how-to (https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html), et l'ipv4 a fonctionné directement.
Il est possible de perdre IPv6 ce patch devrait le résoudre. Sera dans la prochaine version
#opnsense-patch 88f1cee
J'imagine que tu parle de ce commit : https://github.com/opnsense/core/commit/d1fc5afc2bc186befa82ebbacdde3ba7f4dda55a
Je vais attendre que ce patch soit release (ce qui ne semble pas encore le cas, dans la version actuelle (18.7.1_3), et je re-testerai.
-
Vous devriez obtenir IPv6. Le patch est juste pour empêcher qu'il soit perdu plus tard.
Vérifiez ici que IPv6 est activé
'Firewall: Settings: Advanced'
Vérifiez également qu'il n'y a pas de règles de pare-feu dans "WAN" ou "Floating" bloquant IPv6
-
J'ai suivi le tuto et je suis bien arrivé à obtenir une IPV4. Par contre rien en IPV6 car je n'ai pas suivi le tuto sur cette partie la. Par contre je me pose une question : A quoi ça sert d'avoir une IP V6? Je n'en ai pas et cela fonctionne très bien pour moi.
-
bonsoir,
l'ipv6 c'est techniquement pas indispensable, mais va bien falloir y passer un jour... Aucun doute sur ses avantages. Par contre, avec le préfixe qui change (même très rarement) c'est moyen...
-
Flo_77 est correct. Mais j'aime l'avoir parce que c'est là
-
bonsoir,
l'ipv6 c'est techniquement pas indispensable, mais va bien falloir y passer un jour... Aucun doute sur ses avantages. Par contre, avec le préfixe qui change (même très rarement) c'est moyen...
Surement mais au quotidien sur mon opnsense j'ai toujours pas compris à quoi ça servait à part se faire c... à le configurer.
-
Vous devriez obtenir IPv6. Le patch est juste pour empêcher qu'il soit perdu plus tard.
Vérifiez ici que IPv6 est activé
'Firewall: Settings: Advanced'
Vérifiez également qu'il n'y a pas de règles de pare-feu dans "WAN" ou "Floating" bloquant IPv6
Je viens de vérifier :
- Firewall: Settings: Advanced: IPv6 était bien activé (c'était par défaut à l'install de OPNsense je crois)
- Firewall: Rules: WAN: j'ai 4 règles ACCEPT (ICMP, puis des rules auto crées par des ports forward de NAT), donc rien qui devrait gêner normalement
- Firewall: Rules: Floating: aucune règle
Je pense que je vais laisser tomber l'IPv6 pour le moment (même si ca fait un peu mal de dire ça en 2018 ...), et je re-essayerai dans qq temps.
Merci bcp pour ton aide en tout cas :)
-
Surement mais au quotidien sur mon opnsense j'ai toujours pas compris à quoi ça servait à part se faire c... à le configurer.
Perso je serai tenté de monter un tunnel vers tunnelbroker pour avoir un /64 fixe (et simple), mais le débit sera très passable en IPv6, de ce que j'ai compris. D'ailleurs si quelqu'un a un substitut je suis preneur :)
-
Perso je serai tenté de monter un tunnel vers tunnelbroker pour avoir un /64 fixe (et simple), mais le débit sera très passable en IPv6, de ce que j'ai compris. D'ailleurs si quelqu'un a un substitut je suis preneur :)
Ok mais juste : ça servirait à quoi?
-
Obtenir un subnet IPV6 en passant par IPV4, sans se soucier de la config IPV6 d'Orange quand on remplace sa box. Ou même, sans se soucier de l'opérateur, on garde le même préfixe IPV6 peu importe l'opérateur ou la connexion internet (du moment que OPNsense reçoit une IPv4 publique pour établir le tunnel). En clair : avoir l'ipv6 avec une configuration minimale.
Ce qui est gênant, c'est la bande passante pour sortir sur internet via l'endpoint d'HE (https://tunnelbroker.net/), qui semble apparement limitée de ce que j'ai compris ici ou là (à confirmer?)
-
HE peut tout à fait fermer son service de tunnel broker quand bon lui semble.
Tout comme Sixxs qui a fermé récemment.
-
Oui d'autant plus que c'est un service gratuit
-
Je viens de vérifier :
- Firewall: Settings: Advanced: IPv6 était bien activé (c'était par défaut à l'install de OPNsense je crois)
- Firewall: Rules: WAN: j'ai 4 règles ACCEPT (ICMP, puis des rules auto crées par des ports forward de NAT), donc rien qui devrait gêner normalement
- Firewall: Rules: Floating: aucune règle
Je pense que je vais laisser tomber l'IPv6 pour le moment (même si ca fait un peu mal de dire ça en 2018 ...), et je re-essayerai dans qq temps.
Merci bcp pour ton aide en tout cas :)
Quelque chose à essayer Essayez de changer le paramètre WAN pour la priorité VLAN sur autre chose que 6. Enregistrez le WAN. Ensuite, réglez-le sur 6 et sauvegardez à nouveau.
-
Obtenir un subnet IPV6 en passant par IPV4, sans se soucier de la config IPV6 d'Orange quand on remplace sa box. Ou même, sans se soucier de l'opérateur, on garde le même préfixe IPV6 peu importe l'opérateur ou la connexion internet (du moment que OPNsense reçoit une IPv4 publique pour établir le tunnel). En clair : avoir l'ipv6 avec une configuration minimale.
Ce qui est gênant, c'est la bande passante pour sortir sur internet via l'endpoint d'HE (https://tunnelbroker.net/), qui semble apparement limitée de ce que j'ai compris ici ou là (à confirmer?)
Ok j'ai compris que c'était pour pouvoir obtenir une IP V6 mais ce n'est pas ma question :
A quoi ça sert aujourd'hui au quotidien d'avoir une IP V6 attribué sur ton routeur? Qu'est ce que ça t'apporte?
-
Aujourd'hui très peu comme IPv4 fonctionne toujours bien. À l'avenir, lorsque les adresses IPv4 seront rares et que nous aurons des sites IPv6 uniquement, alors il sera essentiel
-
Ok donc aujourd'hui pas d'utilité, on peu faire l'impasse sur cette partie de la documentation sans que ça ne pose de problème?
Si c'est le cas je ne comprends pas pourquoi tant de personne s'em... à configurer ça. Lorsque la pénurie d'adresse IP V4 sera vraiment d'actualité, Orange aura peut être changé sa conf et sa techno trois fois déjà et donc tout ce qui est noté dans ce tuto sera obsolète...
Vraiment j'ai du mal à comprendre...
-
Ok donc aujourd'hui pas d'utilité, on peu faire l'impasse sur cette partie de la documentation sans que ça ne pose de problème?
Si c'est le cas je ne comprends pas pourquoi tant de personne s'em... à configurer ça. Lorsque la pénurie d'adresse IP V4 sera vraiment d'actualité, Orange aura peut être changé sa conf et sa techno trois fois déjà et donc tout ce qui est noté dans ce tuto sera obsolète...
Vraiment j'ai du mal à comprendre...
En effet ne pas comprendre, semble signifier que tu n'en as clairement pas l'utilité.
De mon côté je trouve ça plutôt sympa grâce à lipv6 de ne plus avoir recours à un vpn site à site pour relier deux réseaux.
De ne plus avoir besoin de faire de Nat.
D'avoir une ip routable pour tous les pc
Etc....
Cdt
-
En effet ne pas comprendre, semble signifier que tu n'en as clairement pas l'utilité.
De mon côté je trouve ça plutôt sympa grâce à lipv6 de ne plus avoir recours à un vpn site à site pour relier deux réseaux.
De ne plus avoir besoin de faire de Nat.
D'avoir une ip routable pour tous les pc
Etc....
Cdt
En effet mais sachant aussi qu'un utilisateur avancé sachant faire ce que tu décris, aura déjà configuré son réseau en IPV6 :)
Malheuresement pour un point de vue "consommation" (regarder une vidéo, envoyer un mail...), l'usage d'internet de tout le monde, bah l'IPv4 même en CG-NAT, suffit...
-
En effet mais sachant aussi qu'un utilisateur avancé sachant faire ce que tu décris, aura déjà configuré son réseau en IPV6 :)
Malheuresement pour un point de vue "consommation" (regarder une vidéo, envoyer un mail...), l'usage d'internet de tout le monde, bah l'IPv4 même en CG-NAT, suffit...
Pour monsieur et madame tt le monde, autant garder la livebox et faire du traffic ipv6 sans le savoir...
C'est dommage de s'en priver !
-
J'ai 7 réseaux différents et dans PFSense je garde la vue des Interfaces dans mon dashboard pour verifier les IP allouées et l'état de celles-ci, dans OPNSense, pas moyen de masquer une interface, pareil pour le Traffic Graph qui propose une vue superposée de chaque Interface.
Essayez ce patch. ID 0e105ac
Il y a une icône de stylo en haut du widget, sélectionnez-la et entrez les interfaces séparées par des virgules que vous ne souhaitez pas voir, c'est-à-dire OPT1, OPT2, OPT3 etc
-
Essayez ce patch. ID 0e105ac
Il y a une icône de stylo en haut du widget, sélectionnez-la et entrez les interfaces séparées par des virgules que vous ne souhaitez pas voir, c'est-à-dire OPT1, OPT2, OPT3 etc
marjohn56 est l'un des développeurs. OPNsense écoute leurs utilisateurs.
-
En effet ne pas comprendre, semble signifier que tu n'en as clairement pas l'utilité.
De mon côté je trouve ça plutôt sympa grâce à lipv6 de ne plus avoir recours à un vpn site à site pour relier deux réseaux.
De ne plus avoir besoin de faire de Nat.
D'avoir une ip routable pour tous les pc
Etc....
Cdt
Je suis ingé réseau donc je sais à quoi sert l'IP V6 mais ce n'est pas l'IP V6 que je ne comprend pas mais à quoi ça te sert réellement tous les jours? En quoi le NAT t'embête autant?
Une IP routable pour tous tes pc me parait même plus dangereux que cela n'offre d'avantage. Le NAT te permet justement d'isoler les postes de ton réseau interne d'internet.
-
Je suis ingé réseau donc je sais à quoi sert l'IP V6 mais ce n'est pas l'IP V6 que je ne comprend pas mais à quoi ça te sert réellement tous les jours? En quoi le NAT t'embête autant?
Une IP routable pour tous tes pc me parait même plus dangereux que cela n'offre d'avantage. Le NAT te permet justement d'isoler les postes de ton réseau interne d'internet.
En tant qu'ingé réseau tu devrais donc savoir plus qu'un autre les bénéfices de l'ipv6, continuer de promouvoir unqiuement ipv4 revient pour moi a reculer pour mieux sauter.
Bien sur que ça me sert tous les jours, j'en conviens principalement pour un usage perso, car malheureusement grand nombre d'entreprise ne joue pas encore le jeu de l'ipv6.
je ne vois pas l’intérêt aujourd'hui de continuer a vouloir faire uniquement de l'ipv4.
Une bonne partie de l'internet est accessible en IPV6, je ne vois que des bénéfices à l'utiliser.
Pourvoir quelle raison devrions nous isoler les postes sur un réseaux "privé" ? pour protéger les postes une configuration correct du firewall fait très bien l'affaire.
Le nat est une surcouche non nécessaire à partir du moment ou chaque poste a son ip routable, je ne vois pas cela comme un faille de sécurité...
Le nat en tant que telle, ne me gène pas, il ne me sert surtout quasiment plus.
-
Cela vous va comme explications ?
C'est ce que je prépare pour expliquer IPv6 au grand public :
Depuis 1983, Internet utilise la version quatre d’IP ou IPv4, mais il n’y a pratiquement plus d’adresses disponibles pour connecter de nouveaux périphériques ou ordinateurs. Il est nécessaire de changer le cœur du réseau pour lui permettre de continuer à croître et à évoluer.
Changer le cœur de l’Internet sans l’arrêter n’est pas une tâche facile : On installe un cœur IPv6 à côté du cœur IPv4, afin de permettre l’accès aux deux internet, avant d’éteindre le cœur IPv4 quand tout le monde aura installé le cœur IPv6.
Internet a besoin d’IPv6, car c’est seulement avec un cœur IPv6 et l’arrêt du cœur IPv4 qu’Internet continuera de croître et de se développer comme nous le souhaitons.
Les solutions de partagent d’IPv4 entre plusieurs clients peuvent être nécessaires le temps de la migration, mais ce n’est pas la solution pérenne.
La vitesse avec laquelle il sera possible débrancher le vieux cœur IPv4 dépend de tous : Les clients, fournisseur d’accès à internet, les hébergeurs,… Nous devons rapidement installer partout le cœur IPv6 à côté du cœur IPv4.
Le succès d’IPv6 dépend de nous tous: Si votre ordinateur est déjà compatible IPv6 depuis des années, certains équipements comme une console de jeu ou un téléviseur connecté peuvent ne pas être encore compatible IPv6. Lors de l’achat d’un nouvel équipement, vérifiez bien la compatibilité IPv6 et n’achetez qu’un équipement compatible IPv6. À vous de faire le bon choix.
De même, certains sites et services sur Internet sont prêts pour IPv6 depuis plusieurs années. Si vous devez faire héberger un site ou des données sur Internet, vérifiez que le prestataire propose bien de l’IPv6, car certains n’ont pas encore réalisé l’urgence ou la gravité de la situation et ne proposent que de l’IPv4. Certains fournisseurs d’accès à Internet ne proposent toujours pas d’IPv6.
Si vous changez de fournisseur d’accès à Internet, faites attention à prendre un opérateur qui propose IPv6. Si IPv6 n’est pas activé par défaut, pensez à l’activer en configurant votre box.
Vous pouvez également appeler votre banque, envoyer un courrier électronique à votre boutique en ligne préférée si son site n’est pas disponible en IPv6. S’ils ne savent pas de quoi vous parlez, vous devriez vraiment vérifier les autres options.
-
Cela vous va comme explications ?
C'est ce que je prépare pour expliquer IPv6 au grand public :
Depuis 1983, Internet utilise la version quatre d’IP ou IPv4, mais il n’y a pratiquement plus d’adresses disponibles pour connecter de nouveaux périphériques ou ordinateurs. Il est nécessaire de changer le cœur du réseau pour lui permettre de continuer à croître et à évoluer.
Changer le cœur de l’Internet sans l’arrêter n’est pas une tâche facile : On installe un cœur IPv6 à côté du cœur IPv4, afin de permettre l’accès aux deux internet, avant d’éteindre le cœur IPv4 quand tout le monde aura installé le cœur IPv6.
Internet a besoin d’IPv6, car c’est seulement avec un cœur IPv6 et l’arrêt du cœur IPv4 qu’Internet continuera de croître et de se développer comme nous le souhaitons.
Les solutions de partagent d’IPv4 entre plusieurs clients peuvent être nécessaires le temps de la migration, mais ce n’est pas la solution pérenne.
La vitesse avec laquelle il sera possible débrancher le vieux cœur IPv4 dépend de tous : Les clients, fournisseur d’accès à internet, les hébergeurs,… Nous devons rapidement installer partout le cœur IPv6 à côté du cœur IPv4.
Le succès d’IPv6 dépend de nous tous: Si votre ordinateur est déjà compatible IPv6 depuis des années, certains équipements comme une console de jeu ou un téléviseur connecté peuvent ne pas être encore compatible IPv6. Lors de l’achat d’un nouvel équipement, vérifiez bien la compatibilité IPv6 et n’achetez qu’un équipement compatible IPv6. À vous de faire le bon choix.
De même, certains sites et services sur Internet sont prêts pour IPv6 depuis plusieurs années. Si vous devez faire héberger un site ou des données sur Internet, vérifiez que le prestataire propose bien de l’IPv6, car certains n’ont pas encore réalisé l’urgence ou la gravité de la situation et ne proposent que de l’IPv4. Certains fournisseurs d’accès à Internet ne proposent toujours pas d’IPv6.
Si vous changez de fournisseur d’accès à Internet, faites attention à prendre un opérateur qui propose IPv6. Si IPv6 n’est pas activé par défaut, pensez à l’activer en configurant votre box.
Vous pouvez également appeler votre banque, envoyer un courrier électronique à votre boutique en ligne préférée si son site n’est pas disponible en IPv6. S’ils ne savent pas de quoi vous parlez, vous devriez vraiment vérifier les autres options.
+1
C'est très clair.
Le point suivant est vraiment important :
La vitesse avec laquelle il sera possible débrancher le vieux cœur IPv4 dépend de tous : Les clients, fournisseur d’accès à internet, les hébergeurs,… Nous devons rapidement installer partout le cœur IPv6 à côté du cœur IPv4.
-
Pour monsieur et madame tt le monde, autant garder la livebox et faire du traffic ipv6 sans le savoir...
C'est dommage de s'en priver !
bien-sûr, je suis entièrement d'accord! Je dis juste que l'IPV6 n'est pas encore assez indispensable pour être "obligé" de l'utiliser pour les usages courants.
Et côté serveur, tous les sites web et services ne sont pas tous en IPV6, j'imagine pour la même raison : tout le monde a l'IPv4. Une boucle sans fin qu'il faudra bien briser d'un côté ou de l'autre...
La vitesse avec laquelle il sera possible débrancher le vieux cœur IPv4 dépend de tous : Les clients, fournisseur d’accès à internet, les hébergeurs,… Nous devons rapidement installer partout le cœur IPv6 à côté du cœur IPv4.
Je rejoins totalement vivien également
Par contre, on s'éloigne un peu du sujet concernant OPNsense
-
Je suis ingé réseau donc je sais à quoi sert l'IP V6 mais ce n'est pas l'IP V6 que je ne comprend pas mais à quoi ça te sert réellement tous les jours? En quoi le NAT t'embête autant?
Une IP routable pour tous tes pc me parait même plus dangereux que cela n'offre d'avantage. Le NAT te permet justement d'isoler les postes de ton réseau interne d'internet.
On ne le répétera jamais assez, mais non, le NAT n'est pas une fonction de sécurité.
-
On ne le répétera jamais assez, mais non, le NAT n'est pas une fonction de sécurité.
je n'ai jamais dis que c'était une fonction de sécurité. Seulement que cela isolait ton adressage réseau interne de l'adressage public. Il ne faut pas déformer mes propos.
-
+1
C'est très clair.
Le point suivant est vraiment important :
Je suis d'accord. Je connais les enjeux d'IP V6 mais aujourd'hui tant que les opérateurs et constructeurs n'ont pas sauté le pas, à quoi ça sert au quotidien de se faire chi.. à le configurer?
le jour ou orange me dit : "ok c'est bon on est pret pour l'IP V6 et on distribue plus d'IP V4" alors la oui je embêterai à le configurer et d'ici la les équipement auront muri. Mais AUJOURD'HUI ça n'apport clairement rien du tout à part une grande autosatisfaction personnel d'y être arrivé et pouvoir frimé en soirée.
ça me rappel des gens qui me disait il y a deux ans : "J'ai acheté une super TV 4K, je suis trop content, le vendeur m'a dit que c’était super bien, la définition est multiplié par 4!!" sauf que à l'époque il n'y avait aucun contenu 4K. Il pensait réellement regardé Michel Drucker en 4K sur la TNT! Ils ont payé une fortune cette fonction qui n'était même pas mature à l'époque (pas de HDR) pour rien du tout.
Pour une satisfaction personnel ok mais concrètement cela n'apporte rien du tout aujourd'hui.
-
Bah en fait l'exemple de ta TV c'est (presque) exactement comme l'IPV6 : à la différence qu'il y a déjà du contenu en IPV6, avoir un réseau IPV6, c'est permettre au reste d'arriver par la suite. Tout comme le proprio d'une TV 4K, quand il aura une console de jeu 4K, il pourra en profiter sans changer de tv :)
Pour moi il faudrait que quelques acteurs incontournables, par exemple google ou facebook, cessent de fournir leurs services en l'IPV4 dès à présent ou dans un futur proche, pour que ça bouge vraiment. Parce que bon, les initiatives pour s'intéresser et promouvoir l'IPv6 ne touchent qu'une minorité de personnes déjà averties.
Mais si on commence à mettre dans la balance un service très populaire, ça va pencher plus vite ;)
-
Bah en fait l'exemple de ta TV c'est (presque) exactement comme l'IPV6 : à la différence qu'il y a déjà du contenu en IPV6, avoir un réseau IPV6, c'est permettre au reste d'arriver par la suite. Tout comme le proprio d'une TV 4K, quand il aura une console de jeu 4K, il pourra en profiter sans changer de tv :)
Pour moi il faudrait que quelques acteurs incontournables, par exemple google ou facebook, cessent de fournir leurs services en l'IPV4 dès à présent ou dans un futur proche, pour que ça bouge vraiment. Parce que bon, les initiatives pour s'intéresser et promouvoir l'IPv6 ne touchent qu'une minorité de personnes déjà averties.
Mais si on commence à mettre dans la balance un service très populaire, ça va pencher plus vite ;)
C'est un peu ce que je voulais dire en fait. Ce n'est pas aux utilisateurs de faire bouger mais au grand acteurs du domaines (google, microsoft, les constructeurs de matériel). L'exemple de la tv 4K était bon. ça ne sert à rien de passer à la 4K si il n'y a aucun contenu ou très peu. Le jour ou tout sera compatible et que les services basés sur IP V6 seront nombreux alors la le grand public y passera de façon naturelle. Surtout que si il y a réellement pénurie d'IP V4 elle vont devenir chère et ne t'inquiète pas que les opérateurs vont vite tous nous passer dessus, obligeant les constructeurs de matériel, les éditeurs, développeurs, etc... à s'adapter.
-
Pour moi il faudrait que quelques acteurs incontournables, par exemple google ou facebook, cessent de fournir leurs services en l'IPV4 dès à présent ou dans un futur proche
Ils ne peuvent pas se permettre de couper IPv4...
Par contre, Google pourrait très bien favoriser les sites accessibles en IPv6 dans les résultats de son moteur de recherche. Je pense que ça inciterait un certain nombre d'acteurs à s'y mettre sérieusement.
-
je n'ai jamais dis que c'était une fonction de sécurité. Seulement que cela isolait ton adressage réseau interne de l'adressage public. Il ne faut pas déformer mes propos.
Et donc quel est l'intérêt de la chose par rapport à une adresse routable par machine avec un pare-feu en coupure ?
-
tant qu'a faire du HS : je viens d'installer une VM opnsense et je suis assez satisfait des tests.
Pour l'instant je ne teste que SFR cable, mais je compte bien essayer Bouygues bientot en double connection
-
tant qu'a faire du HS : je viens d'installer une VM opnsense et je suis assez satisfait des tests.
Pour l'instant je ne teste que SFR cable, mais je compte bien essayer Bouygues bientot en double connection
Non au moins on revient au topic! ;)
Pour ma part, j'ai commandé au début de semaine une carte réseau (occaz) intel 4 ports, je vais donc changer de setup pour atteindre le gigabit et je vous fais un retour juste ensuite.
-
Retour à parler d'OPNsense. Enfin :-)
-
Je plafonne a 500mb/s avec la VM (4 coeur xeon et 4 Go de ram).
Je ne dis pas que c'est a cause de opnsense, probablement plus de la partie virtualisation, j'ai utilise une carte E1000 et pas de vmxnet3
-
Je plafonne a 500mb/s avec la VM (4 coeur xeon et 4 Go de ram).
Je ne dis pas que c'est a cause de opnsense, probablement plus de la partie virtualisation, j'ai utilise une carte E1000 et pas de vmxnet3
Je te confirme : tu es très probablement limité par autre chose que OPNsense (possiblement par une config de ta VM, oui) :)
Car chez moi, je sature facilement la fibre orange (qui est maintenant à ~1Gbits en download en pratique) avec un OPNsense :
- hardware: un "petit" Celeron 1037U (https://ark.intel.com/fr/products/71995/Intel-Celeron-Processor-1037U-2M-Cache-1_80-GHz)
- conf: routage "simple" entre 2 réseaux (LAN et WAN), NAT, < 10 règles de firewall
-
Matos reçu :)
J'installerai OPNsense sur une ancienne machine ayant un Athlon 64 5000+ (en attendant d'avoir mieux ;D) en remplacement de la carte mère actuelle avec CPU intégré, bien plus récent, mais dispose que d'un port PCI...
-
D'ailleurs je viens de voir un truc, je poste ici vu que je travaille sur OPNsense, concernant les trames envoyées par la box : chez moi l'option DHCP "user-class" a changé avec la livebox 4.
Un détail insignifiant mais qui pourrait avoir son importance par la suite (on ne sait jamais)
-
C'est bon, livebox 4 remplacée! :) Encore merci Nivek1612 pour avoir présenté ce fork!
Speedtest sans vpn : 940/300. Version de OPNsense : 18.7.1_3-amd64
Dans l'user-class du client DHCP pour le WAN, j'ai donc modifié en conséquence : "+FSVDSL_livebox.Internet.softathome.Livebox4"
Schéma du réseau avec une carte 4 ports, dont un utilisé pour relier la livebox 4 :
- vlan832 - igb0 : WAN, (DHCP)
- vlan832 - igb2 : livebox
- igb3 : LAN
Le port igb1 est resté libre pour un usage futur. Il me reste aussi le port 10/100 d'origine sur la carte-mère.
L'interface livebox prendra un sous-réseau privé /24, de votre choix.
Ci-dessous : image illustrant quelques règles élèmentaire de firewall, empêchant la communication vers les autres réseaux, car la livebox me servira par ailleurs d'AP wifi invité.
Conf serveur DHCP pour la partie box/téléphonie :
Mettez le sous-réseau que vous voulez. Chez moi 192.168.2.1
DNS servers : domain name : orange.fr
lease time : 86400
Additional options :
- 90 (string) 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
- 120 (string) 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00
- 125 (string) 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff
Et c'est tout. On peut utiliser le téléphone et recevoir les appels. :)
La box est située dans le salon, le PTO et le routeur dans le garage. J'ai un unique câble. Comme l'usage sera essentiellement du wifi (AP perso, sur le LAN, afin de compléter la couverture difficile à travers les murs porteurs), je me contente de diviser les paires du câble. La Livebox fonctionne sur les 2 autres paires restantes, en 100Mbit/s donc. Pleinement satisfaisant. ;D
En reprenant ma configuration fonctionnelle sous PFsense, j'ai galéré plusieurs heures à attribuer une passerelle différente de sortie pour le LAN (sans problème pour les autres interfaces) : il n'y avait plus aucun trafic en mettant autre chose que "default" comme passerelle.
Pour ceux qui seraient dans le même cas que moi, une solution est... d'utiliser une autre interface pour le LAN!
Je suppose qu'un bug au niveau de la règle de sécurité "Anti-Lockout" interfère dans le choix de passerelle de sortie. Mon topic sur le forum OPNsense : https://forum.opnsense.org/index.php?topic=9549.0
Baisse des perf OpenVPN, je plafonne à 100/80 avec le client OpenVPN connecté à mon serveur perso sur le net. Je réfléchis à la réutilisation de mon ancien hardware pour faire un client OpenVPN dédié.
Bref, ce PC vieux de plus de 10 ans est très pratique.
-
Pour info le LAN est sur un chip X540-T2 d'intel (10Gbe), pas de souci à signalé. Fonctionnel depuis plus de 1 mois.
X540-T2 (https://ark.intel.com/fr/products/58954/Intel-Ethernet-Converged-Network-Adapter-X540-T2)
Les nouvelles version sont aussi dispo sous l'appelation X550-T1 / X550-T2 X550-T2 (https://ark.intel.com/fr/products/88209/Intel-Ethernet-Converged-Network-Adapter-X550-T2)
-
D'ailleurs je viens de voir un truc, je poste ici vu que je travaille sur OPNsense, concernant les trames envoyées par la box : chez moi l'option DHCP "user-class" a changé avec la livebox 4.
Un détail insignifiant mais qui pourrait avoir son importance par la suite (on ne sait jamais)
Merci, je fais le changement chez moi ^^
-
Pour information @nivek1612 depuis que j'utilise un switch entre le routeur (opnsense) et ma machine, plus de souci d'attribution ou perte d'IPV6.
Par contre il semble bien qu'il y est un réel problème lorsqu'il y a un matériel directement branché sur l'interface LAN à la place d'un switch.
Je suppose que le problème vient du fait que lorsque opnsense se lance (startup) et que le matériel (PC) n'est pas allumé, l'interface LAN reste en "down". Lorsque celle-ci vient éventuellement à passé en "up" après startup de la machine sur le LAN, l'ipv4 fonctionne parfaitement car NAT, mais l'IPV6 n'est pas fonctionnel avec impossibilité de faire une demande DHCP qui abouti.
En soit ce n'est pas un problème très courant car configuration un peu particulière. Mais ça implique que si pour une raison ou une autre l'interface LAN passe de UP à DOWN, il y a de forte chance qu'une ip v6 ne soit plus récupérable.
-
Bonjour Nivek,
Merci d'avoir apporté un vrai plus à OPNSense ;). Tu avais déjà beaucoup contribué à améliorer pfSense jusqu'à présent.
Ça faisait un moment que je voyais un vrai suivi du développement et de nombreuses améliorations apportées à chaque version d'OPNsense mais vu les difficultés que nous offrait Orange pour se connecter en DHCP, j'ai continué jusqu'à maintenant sur pfSense que je connaissais :P.
Le passage à OPNsense ce weekend s'est plutôt bien passé ;D et j'ai été agréablement surpris par la gestion des options d'authentification DHCP qui est beaucoup plus simple sur OPNsense. En gros pas besoin de faire un dump de la trame de la Livebox pour envoyer son login. Il suffit toujours d'utiliser le lien fort utile https://jsfiddle.net/kgersen/45zudr15/embedded/result/ (https://jsfiddle.net/kgersen/45zudr15/embedded/result/) pour obtenir le format de l'option 11 et 90 suivant la version de DHCP.
J'ai d'emblée testé le package Let's Encrypt dans la foulée. On perd juste la possibilité de configurer manuellement la vérification DNS mais cela m'a permis de consolider son fonctionnement. J'en profite d’ailleurs pour recommander aux testeurs en herbe de déposer un nom de domaine sur Freenom gratuitement et de déléguer la gestion DNS au services de LuaDNS. Le passage par leur API permet à Let's Encrypt de fonctionner de manière entièrement automatisée pour pas un rond 8).
Je pense que je vais enfin chercher du vrai matos pour remplacer définitivement la Livebox. Si il y en a qui peuvent me donner un avis sur ce type de matos https://www.atminga.com/en/systems/superserver/box-pc-solutions/supermicro-superserver-e50-9ap-wifi/sys-e50-9ap-wifi-mx98dc.htm (https://www.atminga.com/en/systems/superserver/box-pc-solutions/supermicro-superserver-e50-9ap-wifi/sys-e50-9ap-wifi-mx98dc.htm). Il faudrait qu'il puisse faire tourner l'IDS Suricata d'OPNsense sans ramer.
Perso, j'ai monté mon propre routeur avec ce matériel https://pcengines.ch/apu4b4.htm, avec la carte wifi conseillée, la wle200nx (la seule supportée par OPNsense), le boitier et l'alimentation qu'ils proposent avec. J'ai ajouté un SSD et deux antennes. Ca fonctionne très bien !
Je prépare un tuto sur le sujet d'ailleurs.
Par contre, j'ai un problème avec mon bridge (j'ai lié toutes les interfaces LAN), mes machines ne se voient pas entre interfaces. J'ai ouvert un sujet sur le forum d'OPNsense : https://forum.opnsense.org/index.php?topic=9589.0 mais vous avez peut-être la réponse.
-
Voilà le début du tutoriel si ça intéresse du monde : https://forum.nextinpact.com/topic/174169-monter-son-propre-routeur-fibre-opnsense/
-
Décidé de jouer avec les paramètres de la télévision, mais ne peut pas obtenir une adresse IP sur le TVBridge. Quelqu'un l'a fait fonctionner et peut partager les paramètres que vous avez utilisés
-
J'ai retester il y a environ 3sem, j'avais pas mal de souci aussi. Ne regardant pas la TV via orange, j'ai fini par laissé tomber.
-
Je suis proche de la résolution affichera plus tard
-
Ok donc j'ai l'adresse IP sur le TVbridge qui fonctionne maintenant sur IGMProxy
-
Ok je l'ai travailler je vais poster des instructions plus tard
-
Ok merci
-
Ok
J'ai la télévision qui fonctionne aussi
J'ai ajouté le guide pour la TV au premier message maintenant
-
Tu devrais ajouter ce guide au premier post du topic ;) Très bon boulot! :)
-
Le vlan 838 n'est plus nécessaire. ;)
-
Tu devrais ajouter ce guide au premier post du topic ;) Très bon boulot! :)
Je l'ai fait maintenant
-
Le vlan 838 n'est plus nécessaire. ;)
intéressant. J'ai simplement fait opsense envoyer les mêmes requêtes que la livebox et cela envoie toujours un dhcp sur vlan 838 donc pour compatibilité je l'ai gardé
MODIFIER:
Je vois du trafic sur le VLAN 838 lorsque je regarde "replay". Donc, je crois que cela peut encore être nécessaire, je soupçonne aussi pour la VOD. Mais oui, juste la télévision ne semble pas être utilisée
-
wiki à venir
Comme base il y a celui-là si ça t'intéresse : http://wiki.csnu.org/index.php/Fibre_orange_en_DHCP_avec_routeur_pfsense
-
Bonjour,
Suite à ce message https://lafibre.info/orange-installation/module-sfp-pour-livebox-4/msg574623/#msg574623 concernant l'intégration d'un ONT SFP d'Orange dans un routeur MikroTik, je m'interroge sur la possibilité d'utiliser l'ONT SFP d'Orange sur une machine OPNSense.
J'aimerais tester l'ONT Sercomm FGS202 dans une Mellanox ConnextX-3 (dual SFP+). La carte est présente dans la liste de compatibilité de FreeBSD 11.1.
Qu'en pensez-vous ?
-
Bonjour,
Suite à ce message https://lafibre.info/orange-installation/module-sfp-pour-livebox-4/msg574623/#msg574623 concernant l'intégration d'un ONT SFP d'Orange dans un routeur MikroTik, je m'interroge sur la possibilité d'utiliser l'ONT SFP d'Orange sur une machine OPNSense.
J'aimerais tester l'ONT Sercomm FGS202 dans une Mellanox ConnextX-3 (dual SFP+). La carte est présente dans la liste de compatibilité de FreeBSD 11.1.
Qu'en pensez-vous ?
Je n'ai jamais vraiment fait de recherches car Orange ONT fonctionne bien. Serait intéressé par des résultats
-
delurk> Si tu as le matos et du temps, tu peux tester.
Au pire, ça ne fonctionne pas.
-
Salut à tous. Est-ce que quelqu'un utilise maintenant le service IPTV avec OPNsense en utilisant mon guide dans le premier message? Nous avons besoin de quelqu'un pour tester la nouvelle version d'IGMPproxy car je ne suis pas de retour en France depuis quelques semaines. Des volontaires s'il vous plait?
-
Hello,
je viens de tomber sur le topic par hasard, je veux bien tester :) faut que je me trouve une petite machine pour installer l'OS :)
Tu as besoin d'un retour quand?
Par contre j'ai le 838 et 840 envoyé vers ma livebox que j'ai conservé pour le tel, ça t'irais quand même? ou il faut que le décodeur soit sur on interface dédiée?
-
Doit être sur le système OPNsense et nous sommes impatients de faire des tests dès que possible
-
J'ai commander mon petit routeur, j'ai pris celui la Routeur FW Q335G4 (https://fr.aliexpress.com/item/Fanless-Mini-PC-4-Gigabit-Lan-Ethernet-NIC-Core-i3-s-curit-AES-NI-Qotom-Routeur/32847784876.html?spm=a2g0s.9042311.0.0.6f016c37MhNnDz)
J'ai hâte de le recevoir.
-
J'ai commander mon petit routeur, j'ai pris celui la Routeur FW Q335G4 (https://fr.aliexpress.com/item/Fanless-Mini-PC-4-Gigabit-Lan-Ethernet-NIC-Core-i3-s-curit-AES-NI-Qotom-Routeur/32847784876.html?spm=a2g0s.9042311.0.0.6f016c37MhNnDz)
J'ai hâte de le recevoir.
:-)
-
Bonjour,
Suite à ce message https://lafibre.info/orange-installation/module-sfp-pour-livebox-4/msg574623/#msg574623 concernant l'intégration d'un ONT SFP d'Orange dans un routeur MikroTik, je m'interroge sur la possibilité d'utiliser l'ONT SFP d'Orange sur une machine OPNSense.
J'aimerais tester l'ONT Sercomm FGS202 dans une Mellanox ConnextX-3 (dual SFP+). La carte est présente dans la liste de compatibilité de FreeBSD 11.1.
Qu'en pensez-vous ?
J'ai réussi à faire fonctionner internet (j'ai pas pris la TV) pendant une semaine avec un switch mitrokit (avec port SFP) et OPNSENSE.
Depuis j'ai du faire un reboot du routeur et plus rien fonctionne, mais c'est possible :).
Edit: https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/
Cdt,
Alcodowi
-
J'ai réussi à faire fonctionner internet (j'ai pas pris la TV) pendant une semaine avec un switch mitrokit (avec port SFP) et OPNSENSE.
Depuis j'ai du faire un reboot du routeur et plus rien fonctionne, mais c'est possible :).
Cdt,
Alcodowi
Attention, un soucis est en cours Nouveau systeme de génération de l'option 90 dhcp (http://ttps://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp)
Est-ce en rapport?
Pour OPNSense je reçoit mon routeur Lundi, piouf c'est long
-
Attention, un soucis est en cours Nouveau systeme de génération de l'option 90 dhcp (http://ttps://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp)
Est-ce en rapport?
Pour OPNSense je reçoit mon routeur Lundi, piouf c'est long
J'ai mis à jour le premier article pour expliquer comment traiter
-
Attention, un soucis est en cours Nouveau systeme de génération de l'option 90 dhcp (http://ttps://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp)
Est-ce en rapport?
Pour OPNSense je reçoit mon routeur Lundi, piouf c'est long
Ya, c'était le nouveau système de génération de l'option 90 :).
-
J'ai mis à jour le premier article pour expliquer comment traiter
Nickel, J'ai hâte de tester cela !
-
Voici un script pour générer la chaîne d'authentification basée sur le script de @zoc. Je travaille avec l'équipe OPNsense pour l'intégrer à l'interface graphique
#!/bin/sh
login='fti/abcdef'
pass='hijklmn'
tohex() {
for h in $(echo $1 | sed "s/\(.\)/\1 /g"); do printf %02x \'$h; done
}
#Fixed Part
f="00000000000000000000001a0900000558010341010d"
#RANDSTRING
r=$(dd if=/dev/urandom bs=1k count=1 2>&1 | md5 | cut -c1-16)
#RANDCHAR
id=${r%${r#??}}
#MD5 HASH (RANDCHAR+pass+RANDSTRING)
h=3c12$(tohex ${r})0313$(tohex ${id})$(echo -n ${id}${pass}${r} | md5 | cut -c1-32)
#Dhcp Authorisation string (FIXED+LOGIN+MD5HASH)
option90=$(echo "${f}$(tohex ${login})${h}" | sed 's/\(..\)/\1:/g' | sed '$s/.$//')
echo $option90
-
Bon, je ne sais pas si je dois te remercier ou pas. ;D
Ça fait quelques temps que je veux un vrai pare-feu pour remplacer mon routeur Ubiquiti EdgeRouter Lite et je viens de salement craquer ! ^^
https://www.aliexpress.com/item/QOTOM-Mini-PC-Q555G6-Q575G6-with-7th-Core-i5-7200U-i7-7500U-6-Gigabit-NICs-COM/32920921042.html (https://www.aliexpress.com/item/QOTOM-Mini-PC-Q555G6-Q575G6-with-7th-Core-i5-7200U-i7-7500U-6-Gigabit-NICs-COM/32920921042.html)
Depuis le temps que je lorgne sur les Qotom !
Merci pour tout ton taf !!!
-
Carcajou, j'ai son petit frère avec un i3-5015U et 4 Interfaces Giga,
Fini de configuré a l'instant, j'ai IPv4 en one shot, mais pas d'IPv6, je vais reprendre la config
Sinon si tu veux pas t'embêter avec les copiers coller pour les options DHCP
Voici :)
DHCPv4
Send Options
dhcp-class-identifier “sagem”, user-class "+FSVDSL_livebox.Internet.softathome.Livebox4", option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:32:74:33:xx:xx:xx:xx
Options de requête
subnet-mask, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, routers, domain-name-servers, option-90
Options modifier
vlan-parent "igb0", vlan-id 832, vlan-pcp 6
DHCPv6 (ne pas oublier la prio pcp a 6)
Send Options
ia-pd 0, raw-option 6 00:0b:00:11:00:17:00:18, raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33, raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d, raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:32:74:33:xx:xx:xx:xx
edit : édition du code car manquait le R a Raw-option 11
-
"aw-option 11" devrait être "raw-option 11"
-
Merci c'est corrigé ;)
-
ipv6 fonctionne maintenant aussi?
remember this part
-
Yes, en faite la partie dans le routeur était bonne, c'est juste le code sur le forum qui était "raté",
j'ai tout reboot (ONT et Routeur) et nickel. IPv47 OK, IPv6 OK, débit stable et constant.
Lors d'un transfère à 1Gbps, j'ai 16% de CPU utilisé :P ;D
Pour le moment c'est un top !
Juste un point, j'aimerais dédier un port pour brancher la Livebox pour pouvoir récupéré le tel, Dans la partie Serveur DHCP j'ai remarquer qu'on ne peut pas renseigner d'option; il faut le faire en ligne de commande?
Je test prochaine la partie TV avec le proxy IGMP
-
Désolé je n'utilise pas le tel. Donc, ne jamais expérimenté
-
Je test prochaine la partie TV avec le proxy IGMP
OPNsense 18.7.4 devrait fonctionner sans mods. Sinon, utilisez le package IGMPproxy indiqué dans le wiki.
-
Ok, je suis allé modifier le fichier dhcpd.conf, mais le fichier est écrasé à chaque modif du DHCP via l'interface web.
J'ai ajouté cela:
option authsend code 90 = string;
option authsend 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:32:74:33:xx:xx:xx:xx;
option SIP code 120 = string;
option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;
et également,
host livebox {
hardware ethernet 00:00:00:00:00:00; #MAC LB
fixed-address 192.168.2.30;
option routers 192.168.2.254;
option domain-name-servers 81.253.149.1, 80.10.246.130;
La Box récupère bien une IP et a priori peu sortir sur internet. (Je suis pas sur place quand je test)
-
OPNsense 18.7.4 devrait fonctionner sans mods. Sinon, utilisez le package IGMPproxy indiqué dans le wiki.
Ok je test ça ce soir ou demain :P
-
Ok, je suis allé modifier le fichier dhcpd.conf, mais le fichier est écrasé à chaque modif du DHCP via l'interface web.
J'ai ajouté cela:
option authsend code 90 = string;
option authsend 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:32:74:33:xx:xx:xx:xx;
option SIP code 120 = string;
option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;
et également,
host livebox {
hardware ethernet 00:00:00:00:00:00; #MAC LB
fixed-address 192.168.2.30;
option routers 192.168.2.254;
option domain-name-servers 81.253.149.1, 80.10.246.130;
La Box récupère bien une IP et a priori peu sortir sur internet. (Je suis pas sur place quand je test)
pas besoin de modifier les fichiers tout est fait à partir de l'interface graphique, voir mon wiki sur la première entrée
-
pas besoin de modifier les fichiers tout est fait à partir de l'interface graphique, voir mon wiki sur la première entrée
Cette modification c'est pour que la LiveBox se connecte en DHCP au OPNSense afin d'avoir la téléphonie.
ONT --igb0(832,838,840)--> OPNSense --igb1--> LAN
|---igb2.832----> LiveBox --> Tel
|---igb3(838,840)----> Decodeur TV
-
Cette modification c'est pour que la LiveBox se connecte en DHCP au OPNSense afin d'avoir la téléphonie.
ONT --igb0(832,838,840)--> OPNSense --igb1--> LAN
|---igb2.832----> LiveBox --> Tel
|---igb3(838,840)----> Decodeur TV
Ah Ok
-
Bientôt à l'OPNsense
-
Super ça.
Une possibilité devolution, le réglages de l'options 90 pour le SERVEUR DHCP dans la partie des bauds statique ? Ça serait génial
Edit 1 :
Comme dans l'image mais dans la partie "DHCP Static Mappings for this interface." pour chaque host
Edit 2 :
Bon finalement pas besoin de donner les options pour un host static, on peut les mettre pour l'ensemble du pool, cependant ma livebox ne récupère pas d'IP (Fake Wan)
Edit 3 :
Les réponse du serveur DHCP doit elles aussi être tag en CoS 6. Maintenant la box a son IP :P je poursuit mon travail, je ferais un post propre :)
Edit 4 : Téléphonie VoIP OK
Il faut pour que la box ai une IP,
Les 3 options DHCP qui vont bien à ajouter dans Additionnal Options de votre PoolDHCP (dans mon cas WAN_Fictif_For_LB4)
- 90 : 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
- 120 : 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00
- 125 : 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff
Un lease statique de préférence, associé avec la MAC address de la LiveBox, avec les DNS suivants : 81.253.149.9, 80.10.246.1
et domaine orange.fr
Que le flux du serveur DHCP soit tag avec la CoS 6, J'ai fait une règle dans les ACL,
Interface : WAN_Fictif_For_LB4
TCP/IP Version : IPv4
Protocol : UDP
Source : WAN_Fictif_For_LB4 (adresse de l'interface - 192.168.2.254)
Destination : any
Destination port range from : 68 to 68
Set priority : Internetwork Control (6)
Voila Voila 8) ;D ;)
-
bon travail peut-être créer des captures d'écran de l'interface graphique pour mieux expliquer ce que vous avez fait
-
Edit 3 :
Les réponse du serveur DHCP doit elles aussi être tag en CoS 6. Maintenant la box a son IP :P je poursuit mon travail, je ferais un post propre :)
Etrange, je n'ai jamais eu besoin de faire ça, que ce soit pour une LB4 ou une LB3,
toutes les 2 en FTTH dans des lieux différents.
-
Etrange, je n'ai jamais eu besoin de faire ça, que ce soit pour une LB4 ou une LB3,
toutes les 2 en FTTH dans des lieux différents.
Sinon elle prenait bien une IP mais pas d'uptime de connexion et donc elle signalait "Pas de connexion Internet - rebootez la box"
bon travail peut-être créer des captures d'écran de l'interface graphique pour mieux expliquer ce que vous avez fait
Yes, Voici quelques captures d'écran.
-
Bravo
-
Pour le décodeur. Il faut juste un DHCP sur l'interface sans Vlan et un bridge du Vlan 840?
-
Merci nivek1612 pour le patch RFC3118
-
Un lease statique de préférence, associé avec la MAC address de la LiveBox, avec les DNS suivants : 81.253.149.9, 80.10.246.1
et domaine orange.fr
Les DNS reçus varient aussi selon la localisation où on se trouve j'ai l'impression. Donc vaut mieux mettre ceux reçus habituellement par le DHCP Orange (exemple, j'ai 80.10.246.5 et 81.253.149.13)
-
Bonjour à tous,
Tout d'abord merci à Nivek pour sa contribution !
Ma maigre participation et mon retour sur une fresh install opnsense (abandon pfsense) :
info préliminaire : mon opnsense est hebergé sur un esx 5.5. J'ai attribué 5 interfaces physiques via l'hyperviseur. Rappel pour vmware : aller dans les paramètres des interfaces pour activer le mode espion afin d'utiliser du traffic tagué.
A l'issue de l'installation de l'opnsense, il faut intaller le plugin os_igmpproxy sinon le service n'apparait pas dans la liste (oui ca parait con mais ca m'a couté 1h).
J'ai d'abord downgradé la version comme indiqué, mais j'arrivai pas à lancer le service. Après plusieurs tentatives, j'ai bien la dernière version de l'igmpproxy, mais j'ai du saisir le upstream et le downstream dans un certain ordre pour que le service démarre (alors que les infos sont les mêmes).
Dans les regles FW partie avancée, j'ai du cocher "allow options " pour faire passer les flux igmp. Sinon aucun flux ne passe.
Enfin j'ai bien les flux vidéos sur le player, mais certaines chaines ne s'affichent pas (ARTE/TMC/public senat par exemple alors que j'ai bien france5/TF1, etc..Pour TMC, j'ai eu la vidéo pendant quelques minutes puis après le flux s'est coupé et impossible de réavoir la chaine, même après un reboot). Pas d'infos particulières dans les logs.
Au final j'ai bien une solution fonctionnelle, mais j'ai pas toute les chaines (j'arrive pas à comprendre pourquoi certaine passent et pas d'autre). Est ce que les DNS orange suivant la géolocalisation a une importance ? Des groupes igmp à ajouter dans le upstream ?
A+
-
Sur l'image de @kaktuss77
(https://lafibre.info/index.php?action=dlattach;topic=33363.0;attach=57304;image)
Je n'ai pas eu besoin de spécifier de prio, étrange que sans ça, ta config ne fonctionne pas...
-
Je vais refaire des tests sans, la pauvre box en pouvais pas plus, On -- Off -- On -- Off -- On -- Off -- On -- Off etc
Je vous dirais, sinon le petit OPNSense se porte très bien :) un vrai plaisir
-
Petite question, je tente de mettre un autre préfixe IPv6 sur une autre interface, donc dans la case "IPv6 Prefix ID" je mets 1 puisque 0 est déjà utilisé pour mon lan, cela me renvoi un info, out-of-range.
J'avais plusieurs préfixe IPv6 avec mon ERL.
-
Carcajou, j'ai son petit frère avec un i3-5015U et 4 Interfaces Giga,
Fini de configuré a l'instant, j'ai IPv4 en one shot, mais pas d'IPv6, je vais reprendre la config
Sinon si tu veux pas t'embêter avec les copiers coller pour les options DHCP
Voici :)
DHCPv4
Send Options
dhcp-class-identifier “sagem”, user-class "+FSVDSL_livebox.Internet.softathome.Livebox4", option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:32:74:33:xx:xx:xx:xx
Options de requête
subnet-mask, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, routers, domain-name-servers, option-90
Options modifier
vlan-parent "igb0", vlan-id 832, vlan-pcp 6
DHCPv6 (ne pas oublier la prio pcp a 6)
Send Options
ia-pd 0, raw-option 6 00:0b:00:11:00:17:00:18, raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33, raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d, raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:32:74:33:xx:xx:xx:xx
edit : édition du code car manquait le R a Raw-option 11
Merci ! Très sympa de ta part !!! :)
Là où je crèche, j'ai un mois et demi avant de le voir arriver. ^^ Je verrai à ce moment là. ;)
[Edit] J'ai dit une boulette, c'est du DHL, ça devrait aller beaucoup plus vite ! (Sauf si la douane me garde le colis plusieurs semaines... ^^)
Quand j'habitais en métropole, j'utilisais l'EdgeRouter Lite. Ici, je viens d'avoir la fibre, je vais le remettre en fonctionnement.
Il faut juste que je creuse cette histoire de PPPoE/DHCP, mais je pense que ça va rester du PPPoE. Je vois dans les informations système :
- Type du protocole : PPP
- ATM VP/VC ou VLAN : 835
- Taille MTU : 1492
- pas d'IPv6
Sachant que je suis en 300 Mbits/s symétrique en offre particuliers.
J'ai lu que toute la métropole est passée en DHCP, mais ce n'est peut-être pas le cas de l'outre-mer ?
-
Bon bien fin de game pour moi, le routeur Qotom vient de grillée, Il s'allume puis s'éteint en boucle, j'ai testé un autre bloc alim mais rien n'y fait.
Je suis écœuré :-\ :-\ :'( :'( >:( >:(
J'ai remis mon ERL3 pour le moment. J'espère que Ali va pas faire le méchant....
-
Bon bien fin de game pour moi, le routeur Qotom vient de grillée, Il s'allume puis s'éteint en boucle, j'ai testé un autre bloc alim mais rien n'y fait.
Je suis écœuré :-\ :-\ :'( :'( >:( >:(
J'ai remis mon ERL3 pour le moment. J'espère que Ali va pas faire le méchant....
Ce n'est pas bien. J'en ai 3 (maisons différentes) aucune n'a posé de problème mais elles sont i5 et i7 pas i3
-
avez-vous essayé de démarrer à partir d'usb pourrait être question de SSD
-
En effet, je suis arrivé a le faire au moins booter, mais il bloque sur la détection des liens,
Que ce soit en boot depuis le SSD, ou depuis l'USB c'est pareil. des fois, il reste meme bloqué sur la détection des USB? J'ai tenté un Clear CMOS, pas mieux :'(
J'ai même essayé avec un autre barrette de RAM
Je vais tester avec un autre OS
-
Hello le forum
Bon finalement il est repartie j'ai changé la barrette de RAM.
J'ai reçu ma ligne backup. Un ReD SFR 100m down 5m UP
J'ai configurer un gateway group ou Orange est Main (Tier 1) et la SFR en Backup (Tier 2). J'ai refais les ACL en faisant du Policy Base Routing. Et juste parfait :D
-
cela est bien, vous devriez partager vos paramètres pour le basculement wan
-
Hello,
Yes c'était prévu. Je suis en train de rédiger le "Tuto" par contre jais un soucis avec l'évasion internet des flux VPN. OPNSense est serveur. Le client est un tel Android. Le VPN monte dans soucis. Par contre je souhaite que les flux internet sorte via l'accès Orange. Je renseigne donc une gateway en PBR (Policy Base Routing) via orange.
Dès lors que je renseigne un gateway dans la PBR, plus aucun flux VPN ne fonctionne (le tunnel monte bien, mais plus de trafic). Même les flux VPN vers Lan local. Faut que je fasse des capture tcpdump. Et je reviendrais ici au besoin.
-
Je viens de commander SFR en sauvegarde auprès d’Orange pour éviter tout temps d’arrêt. Alors attendez avec impatience votre tutoriel
-
Bonjour à tous,
Tout d'abord merci à Nivek pour sa contribution !
Ma maigre participation et mon retour sur une fresh install opnsense (abandon pfsense) :
info préliminaire : mon opnsense est hebergé sur un esx 5.5. J'ai attribué 5 interfaces physiques via l'hyperviseur. Rappel pour vmware : aller dans les paramètres des interfaces pour activer le mode espion afin d'utiliser du traffic tagué.
A l'issue de l'installation de l'opnsense, il faut intaller le plugin os_igmpproxy sinon le service n'apparait pas dans la liste (oui ca parait con mais ca m'a couté 1h).
J'ai d'abord downgradé la version comme indiqué, mais j'arrivai pas à lancer le service. Après plusieurs tentatives, j'ai bien la dernière version de l'igmpproxy, mais j'ai du saisir le upstream et le downstream dans un certain ordre pour que le service démarre (alors que les infos sont les mêmes).
Dans les regles FW partie avancée, j'ai du cocher "allow options " pour faire passer les flux igmp. Sinon aucun flux ne passe.
Enfin j'ai bien les flux vidéos sur le player, mais certaines chaines ne s'affichent pas (ARTE/TMC/public senat par exemple alors que j'ai bien france5/TF1, etc..Pour TMC, j'ai eu la vidéo pendant quelques minutes puis après le flux s'est coupé et impossible de réavoir la chaine, même après un reboot). Pas d'infos particulières dans les logs.
Au final j'ai bien une solution fonctionnelle, mais j'ai pas toute les chaines (j'arrive pas à comprendre pourquoi certaine passent et pas d'autre). Est ce que les DNS orange suivant la géolocalisation a une importance ? Des groupes igmp à ajouter dans le upstream ?
A+
Hello,
Je viens de passer de pfSense à OPNSense avec succès.
J'ai bien une ip v4 sur le 832 et le 838 en revanche je n'ai pas les chaines de tv.
Je pense que le problème vient de la config du firewall.
J'ai ajouté une regle dans lan qui laisse passer tous protocole en ip v4 et v6.
Par contre dans NAT Outbound je n'ai que wan et vlan 838 autorisé sur l'adressage du payer tv. Or quand j'étais sous pfSense j'avais les règles suivantes. Dois je les rajouter ?
En passant merci a tous et surtout nivek :)
Merci
-
@slayerman : Pareil que toi pour le moment, mais je me suis pas encore plus penché dessus car pour le moment je n'arrive pas à récupérer d'adresse IPv6, pourtant les options sont bonnes etc.
Je creuse
-
@slayerman : Pareil que toi pour le moment, mais je me suis pas encore plus penché dessus car pour le moment je n'arrive pas à récupérer d'adresse IPv6, pourtant les options sont bonnes etc.
Je creuse
Mon non plus je n'ai pas réussi à avoir l'ip v6, mais pour la tv ce n'est pas obligatoire si je ne me trompe (j'avais la tv sous pfsense et je n'étais que en ipv4).
Dit moi si tu trouve pour l'ipv6 :) et si tu as le temps de tester la tv ?
-
je n'arrive pas à récupérer d'adresse IPv6, pourtant les options sont bonnes etc.
pour IPv6 deux questions. Avez-vous défini la priorité correctement et à quoi ressemble votre dhcp6c_wan.conf
-
pour IPv6 deux questions. Avez-vous défini la priorité correctement et à quoi ressemble votre dhcp6c_wan.conf
Il faut modifier le dhcp6c_wan.conf ? j'ai suivi
https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html et https://github.com/opnsense/docs/blob/3e8a826baf1b08f552c6572ec126a521c20c9d51/source/manual/how-tos/orange_fr_tvf.rst
il n'y a pas de référence au fichier dhcp6c_wan.conf.
Il faut l'éditer en SSH ou c'est possible depuis l'interface de opnsense ?
EDIT : désojé je viens de voir ton poste sur la page 3
-
pour IPv6 deux questions. Avez-vous défini la priorité correctement et à quoi ressemble votre dhcp6c_wan.conf
Voici, J'ai bien une IPv6 sur l'interface LAN du routeur, mais mes PCs ne récupère pas d'adresse IPv6, de plus, je ne peux pas ping6 depuis le routeur
root@OPNsense:/home/kaktuss # cat /var/etc/dhcp6c_wan.conf
interface igb0_vlan832 {
send ia-pd 0;
send raw-option 6 00:0b:00:11:00:17:00:18;
send raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
send raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d;
send raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:32:74:xx:xx:xx:xx:xx;
script "/var/etc/dhcp6c_wan_script.sh";
};
id-assoc pd 0 {
prefix-interface igb2 {
sla-id 0;
sla-len 8;
};
};
-
pas besoin de modifier le fichier dhcp6c_wan.conf que je vous demande de partager afin que je puisse vérifier qu'il est correctement construit. cachez votre ID utilisateur dans l'option 11 avant le partage
-
Voici, J'ai bien une IPv6 sur l'interface LAN du routeur, mais mes PCs ne récupère pas d'adresse IPv6, de plus, je ne peux pas ping6 depuis le routeur
root@OPNsense:/home/kaktuss # cat /var/etc/dhcp6c_wan.conf
interface igb0_vlan832 {
send ia-pd 0;
send raw-option 6 00:0b:00:11:00:17:00:18;
send raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
send raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d;
send raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:32:74:xx:xx:xx:xx:xx;
script "/var/etc/dhcp6c_wan_script.sh";
};
id-assoc pd 0 {
prefix-interface igb2 {
sla-id 0;
sla-len 8;
};
};
LAN cest igb2 ?
-
Oui, mon lan c'est igb2
-
Voila le mien :
interface igb0_vlan832 {
send ia-pd 0;
send raw-option 6 00:0b:00:11:00:17:00:18;
send raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
send raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d;
send raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:62.XX:XX:XX.XX:XX;
script "/var/etc/dhcp6c_wan_script.sh";
};
id-assoc pd 0 {
prefix-interface igb1 {
sla-id 0;
sla-len 8;
};
};
Je constate que ton prefix-interface est sur igb2 et moi igb1 (mon player tv), devrais je le changer en igb0 (vlan 838) ?
-
@slayerman pour obtenir un IPV6 sur le réseau local. regardez le tableau de bord du lobby
igb1 cest Bon
-
Bon je n'ai plus la main sur le firewall en interface web, pourtant j'ai pas toucher la configuration de l'administration web :-\
-
@slayerman pour obtenir un IPV6 sur le réseau local. regardez le tableau de bord du lobby
igb1 cest Bon
Oui j'ai bien une IPV6 en local sur le lan c'est sur le wan que je ne voie que une ip v4 sur le lobby
par contre dans overview des interfaces, sur igb0.vlan838 j'ai une v4 et une v6 IPv6 Link Local fe80::20e:c4ff:fed0:5f11
-
@slayerman, c’est correct pour OPNsense. Quel score obtenez-vous ici ipv6-test.com
-
De mon coté, j'ai l'impresssion que quand il récupère l'IPv6, je perds la main sur l'administration web. Obligé de reboot, et ca revient quelque seconds, et ensuite a nouveau bloqué
-
@slayerman, c’est correct pour OPNsense. Quel score obtenez-vous ici ipv6-test.com
Pas fameux tout ça ???
-
Bon je n'ai plus la main sur le firewall en interface web, pourtant j'ai pas toucher la configuration de l'administration web :-\
Multi WAN ?
-
Multi WAN ?
Oui mais avant de toucher à IPv6, je n'avais pas de soucis,
J'ai bien fait les ACLs pour chaque WAN, et même en local (j'ai la main sur mon PC en local) je n'ai plus accès a l'interface web
-
avez-vous IPv6 défini sur les deux WAN? Si c'est le cas, essayez d'éteindre le second WAN
-
avez-vous IPv6 défini sur les deux WAN? Si c'est le cas, essayez d'éteindre le second WAN
Non seulement 1 seul pour le moment.
-
root@OPNsense:/home/kaktuss # ping6 lafibre.info
PING6(56=40+8+8 bytes) fe80::4262:31ff:fe01:dfdc%igb0_vlan832 --> 2a01:6e00:10:410::2
^C
--- lafibre.info ping6 statistics ---
10 packets transmitted, 0 packets received, 100.0% packet loss
*** OPNsense.KMS.lan: OPNsense 18.7.4 (amd64/OpenSSL) ***
LAN (igb2) -> v4: 192.168.xx.xxx/24
v6/t6: 2a01:cb08:652:ac00:4262:31ff:xxxx:xxxx/64
Lan_Decodeur (igb3) -> v4: 192.168.3.254/24
OPT4 (igb0_vlan840) ->
OPT5 (igb3_vlan840) ->
OPT6 (igb0_vlan838) ->
OPT7 (igb3_vlan838) ->
WAN_Fictif_For_LB4 (igb2_vlan832) -> v4: 192.168.2.254/24
WAN_Orange (igb0_vlan832) -> v4/DHCP4: 90.3.109.43/21
WAN_SFR (igb1) -> v4/DHCP4: 213.xxx.xxx.xxx/23
WiFi_Guest (igb2_vlan11) -> v4: 192.168.xx.xxx/24
Je pige pas :(
J'ai remarqué j'ai ça dans mes log
Oct 8 13:23:41 kernel: igb2: a looped back NS message is detected during DAD for fe80:3::1:1. Another DAD probes are being sent.
Oct 8 13:23:39 kernel: igb2: a looped back NS message is detected during DAD for fe80:3::1:1. Another DAD probes are being sent.
Oct 8 13:23:37 kernel: igb2: a looped back NS message is detected during DAD for fe80:3::1:1. Another DAD probes are being sent.
Oct 8 13:23:35 kernel: igb2: a looped back NS message is detected during DAD for fe80:3::1:1. Another DAD probes are being sent.
Oct 8 13:23:33 kernel: igb2: a looped back NS message is detected during DAD for fe80:3::1:1. Another DAD probes are being sent.
-
Sinon concernant le fail-over Orange / Sfr , voici ma conf en image.
Pour info, toutes les GW dans le même "Tier" sont en Load-Balancing entre-elles,
On peut créé un groupe en mode Tier1 / Tier2 (Nominal/Secours) puis pourquoi pas un groupe en LoadBalancing (Tier1/Tier1)
-
Je continu les tests pour avoir une ipv6 et la tv...
Par contre j'ai remarqué que quand je boot l'OpnSense j'ai direct une ipv4 wan et une ipv4 sur le vlan 838, en revanche si je fais un renew du dhcp du vlan 832, j'ai beaucoup de mal a me reconnecter et a ravoir une ip.
Voila le log de dhcpv4 :
Oct 8 15:04:35 dhclient: ARPSEND
Oct 8 15:04:35 dhclient[90552]: unknown dhcp option value 0x7d
Oct 8 15:04:35 dhclient[90552]: unknown dhcp option value 0x78
Oct 8 15:04:35 dhclient[90552]: unknown dhcp option value 0x5a
Oct 8 15:04:35 dhclient[90552]: DHCPOFFER from 90.91.144.1
Oct 8 15:04:35 dhclient[90552]: DHCPDISCOVER on igb0_vlan832 to 255.255.255.255 port 67 interval 1
Oct 8 15:04:33 dhclient[90552]: DHCPREQUEST on igb0_vlan832 to 255.255.255.255 port 67
Oct 8 15:04:31 dhclient[90552]: DHCPREQUEST on igb0_vlan832 to 255.255.255.255 port 67
Oct 8 15:04:30 dhclient[12261]: bound to 10.69.85.25 -- renewal in 49371 seconds.
Oct 8 15:04:30 dhclient[90552]: DHCPREQUEST on igb0_vlan832 to 255.255.255.255 port 67
Oct 8 15:04:29 dhclient[90552]: DHCPREQUEST on igb0_vlan832 to 255.255.255.255 port 67
Oct 8 15:04:28 dhclient: Creating resolv.conf
Oct 8 15:04:28 dhclient: New Classless Static Routes (igb0_vlan838): 172.23.12.0/22 10.69.85.254 172.20.224.167/32 10.69.85.254 172.19.20.0/23 10.69.85.254 193.253.67.88/29 10.69.85.254 80.10.117.120/31 10.69.85.254 81.253.206.0/24 10.69.85.254 81.253.210.0/23 10.69.85.254 193.253.153.228/32 10.69.85.254 193.253.153.227/32 10.69.85.254 81.253.214.0/23 10.69.85.254 80.10.204.0/22 10.69.85.254
Oct 8 15:04:28 dhclient: Adding new routes to interface: igb0_vlan838
Oct 8 15:04:28 dhclient: New Routers (igb0_vlan838):
Oct 8 15:04:28 dhclient: New Broadcast Address (igb0_vlan838): 10.69.85.255
Oct 8 15:04:28 dhclient: New Subnet Mask (igb0_vlan838): 255.255.255.0
Oct 8 15:04:28 dhclient: New IP Address (igb0_vlan838): 10.69.85.25
Oct 8 15:04:28 dhclient[90552]: DHCPREQUEST on igb0_vlan832 to 255.255.255.255 port 67
Oct 8 15:04:28 dhclient: ifconfig igb0_vlan838 inet 10.69.85.25 netmask 255.255.255.0 broadcast 10.69.85.255
Oct 8 15:04:28 dhclient: Starting add_new_address()
Oct 8 15:04:28 dhclient: Comparing IPs: Old: 10.69.85.25 New: 10.69.85.25
Oct 8 15:04:28 dhclient: Starting delete_old_states()
Oct 8 15:04:28 dhclient: REBOOT
Oct 8 15:04:28 dhclient[12261]: DHCPACK from 10.69.85.254
Oct 8 15:04:28 dhclient[90552]: DHCPREQUEST on igb0_vlan832 to 255.255.255.255 port 67
Truc étrange :
Oct 8 15:04:35 dhclient[90552]: unknown dhcp option value 0x7d
Oct 8 15:04:35 dhclient[90552]: unknown dhcp option value 0x78
Oct 8 15:04:35 dhclient[90552]: unknown dhcp option value 0x5a
-
Slayerman : il me semblait que le vlan838 ne servait plus
-
Slayerman : il me semblait que le vlan838 ne servait plus
Ah bon ? Tu as vu ça ou ?
-
Ici, https://lafibre.info/remplacer-livebox/tuto-remplacer-la-livebox-par-un-routeur-dd-wrt-internet-tv/msg582005/#msg582005
Pour la TV tu as bridgé tes Vlan sur chaques interface physiques ?
-
Ici, https://lafibre.info/remplacer-livebox/tuto-remplacer-la-livebox-par-un-routeur-dd-wrt-internet-tv/msg582005/#msg582005
Pour la TV tu as bridgé tes Vlan sur chaque interface physiques ?
Je n'avais pas vu ça.
Je ne me souvient avoir bridgé 838 et 840 sur pfSense mais la sur opnSense je n'ai pas fait de bridge.
Dans le lien pour ddwrt il dit de bridger 840a 832 c'est bien ça ?
-
Pour le ddwrt je sais pas. En tout cas sur mon ERL mes Vlan 840 et 838 sont bridgé sans DHCP sur le 838. Car j'avais la box qui gérait tel et TV.
J'ai pas tester dans les même conditions j'ai voulu brancher le décodeur directement sur le routeur. J'ai bien les menu qui fonctionnent mais pas de TV en live
-
Oui j'ai bien le décodeur branché sur le port 3 de mon routeur.
Mais est ce que quelqu'un a déjà réussi à faire marcher la tv sur OpnSense ?
-
J'ai retrouvé, à l'époque j'avais bridgé 838 et 840 comme indiqué ici : https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-pfsense/
Mais ici https://lafibre.info/remplacer-livebox/tuto-remplacer-la-livebox-par-un-routeur-dd-wrt-internet-tv/msg582005/#msg582005
il parle de bridger 840 et 832.
Donc je suis perdu ! :(
-
Oui j'ai bien le décodeur branché sur le port 3 de mon routeur.
Mais est ce que quelqu'un a déjà réussi à faire marcher la tv sur OpnSense ?
oui selon mon guide
-
de mon coté igmpProxy n'accepte pas l'interface VLAN840,
igmpproxy[82962]: There must be at least 1 Vif as upstream.
Le service ne se lance meme pas. Par contre si je mets une interfaces physique, aucun soucis.
-
C'est bon j'ai trouvé !!! J'ai la TV :)
IL y avait deux problèmes :
1 . le IGMP proxy https://pkg.opnsense.org/FreeBSD:11:amd64/snapshots/igmpproxy-0.1_2,1.txz ne fonctionne pas. J'ai mis celui des depos en faisant un update depuis OpnSense (j'ai donc la version 1.3_1).
2 . J'avais mis le vlan 840 en upstream ET downstream, j'ai donc changé le downstream en mettant l'interface ou est connecté mon player tv (évident me direz vous :)
Reste plus qu'a avoir une IPV6.
-
1) Le wiki doit être mis à jour avec 18.7.4, utilisez IGMPproxy fourni avec 18.7.4.
2) Oui, vous devez spécifier le réseau local (LAN) auquel la TV Box est connectée en aval, conformèment à mon guide.
-
C'est bon j'ai trouvé !!! J'ai la TV :)
IL y avait deux problèmes :
1 . le IGMP proxy https://pkg.opnsense.org/FreeBSD:11:amd64/snapshots/igmpproxy-0.1_2,1.txz ne fonctionne pas. J'ai mis celui des depos en faisant un update depuis OpnSense (j'ai donc la version 1.3_1).
2 . J'avais mis le vlan 840 en upstream ET downstream, j'ai donc changé le downstream en mettant l'interface ou est connecté mon player tv (évident me direz vous :)
Reste plus qu'a avoir une IPV6.
Je veux bien les commandes
-
Je veux bien les commandes
Tu veux quoi exactement ?
-
@slayerman pouvez-vous confirmer votre version avec la commande
#pkg info igmpproxy
-
@slayerman pouvez-vous confirmer votre version avec la commande
#pkg info igmpproxy
pkg info igmpproxy
igmpproxy-0.2.1_1,1
Name : igmpproxy
Version : 0.2.1_1,1
Installed on : Mon Oct 8 22:01:34 2018 UTC
Origin : net/igmpproxy
Architecture : FreeBSD:11:amd64
Prefix : /usr/local
Categories : net
Licenses : GPLv2+
Maintainer : franco@opnsense.org
WWW : https://github.com/pali/igmpproxy
Comment : Multicast forwarding IGMP proxy
Options :
PIE : on
RELRO : on
SAFESTACK : on
Annotations :
FreeBSD_version: 1101001
repo_type : binary
repository : OPNsense
Flat size : 166KiB
Description :
igmpproxy is a simple multicast routing daemon based on mrouted. It uses IGMP
forwarding to dynamically route multicast traffic.
Reqiures multicast forwarding enabled
WWW: https://github.com/pali/igmpproxy
-
Excellent. Je ne suis pas allé en France pour tester la nouvelle version. Nous mettrons à jour le wiki pour confirmer que le bogue est maintenant corrigé dans 18.7.4
-
@slayerman pouvez-vous confirmer votre version avec la commande
#pkg info igmpproxy
igmpproxy-0.1_2,1
Name : igmpproxy
Version : 0.1_2,1
Installed on : Tue Oct 9 00:23:03 2018 CEST
Origin : net/igmpproxy
Architecture : FreeBSD:11:amd64
Prefix : /usr/local
Categories : net
Licenses :
Maintainer : melifaro@ipfw.ru
WWW : http://igmpproxy.sourceforge.net/
Comment : Multicast forwarding IGMP proxy
Annotations :
FreeBSD_version: 1101001
Flat size : 35.9KiB
Description :
igmpproxy is a simple multicast routing daemon based on mrouted. It uses IGMP
forwarding to dynamically route multicast traffic.
Reqiures multicast forwarding enabled
WWW: http://igmpproxy.sourceforge.net/
et ça ne marche pas avec cette version
Edit : je crois que la database est cassée
pkg upgrade
Updating OPNsense repository catalogue...
pkg: Repository OPNsense load error: access repo file(/var/db/pkg/repo-OPNsense.sqlite) failed: No such file or directory
-
Avez-vous verrouillé la version précédente d’IGMPproxy?
Si ce n'est pas le cas, mettez à jour la dernière version d'OPNsense à partir de l'interface graphique et vous obtiendrez le bon IGMPproxy.
Si vous l'avez verrouillé, vous devrez d'abord le déverrouiller, puis le mettre à niveau.
-
Je suis déjà sur la dernière version de OPNSense.
En faite j'ai trouver le soucis. J'ai déclarer le Vlan838 en DHCP, et en faite il envoyait les flux via cette passerelle, donc pas de connexion au serveur. je ferais un compte rendu sur le forum OPNSense.
Non je n'avais pas verrouiller le package,
-
Bonjour ,
Pour information la TV fonctionne avec igmpproxy 0.2.1
Pour info , si vous utiliser proxmox il faut déactive la surveillance IGMP activé par default
echo 0 > /sys/class/net/vmbrx/brigde/multicast_snooping
opnpsense version 18.7.4
proxmox version 5.2.-9
-
igmpproxy-0.1_2,1
Name : igmpproxy
Version : 0.1_2,1
Installed on : Tue Oct 9 00:23:03 2018 CEST
Origin : net/igmpproxy
Architecture : FreeBSD:11:amd64
Prefix : /usr/local
Categories : net
Licenses :
Maintainer : melifaro@ipfw.ru
WWW : http://igmpproxy.sourceforge.net/
Comment : Multicast forwarding IGMP proxy
Annotations :
FreeBSD_version: 1101001
Flat size : 35.9KiB
Description :
igmpproxy is a simple multicast routing daemon based on mrouted. It uses IGMP
forwarding to dynamically route multicast traffic.
Reqiures multicast forwarding enabled
WWW: http://igmpproxy.sourceforge.net/
et ça ne marche pas avec cette version
Edit : je crois que la database est cassée
pkg upgrade
Updating OPNsense repository catalogue...
pkg: Repository OPNsense load error: access repo file(/var/db/pkg/repo-OPNsense.sqlite) failed: No such file or directory
Vous devez avoir installé l'ancien paquet sur le nouveau, car cette version n'est pas livrée avec 18.7.4.
-
Vous devez avoir installé l'ancien paquet sur le nouveau, car cette version n'est pas livrée avec 18.7.4.
C'est bon j'ai réussi a update :)
root@OPNsense:/home/kaktuss # pkg info igmpproxy
igmpproxy-0.2.1_1,1
Name : igmpproxy
Version : 0.2.1_1,1
Installed on : Tue Oct 9 11:03:36 2018 CEST
Origin : net/igmpproxy
Architecture : FreeBSD:11:amd64
Prefix : /usr/local
Categories : net
Licenses : GPLv2+
Maintainer : franco@opnsense.org
WWW : https://github.com/pali/igmpproxy
Comment : Multicast forwarding IGMP proxy
Options :
PIE : on
RELRO : on
SAFESTACK : on
Annotations :
FreeBSD_version: 1101001
repo_type : binary
repository : OPNsense
Flat size : 166KiB
Description :
igmpproxy is a simple multicast routing daemon based on mrouted. It uses IGMP
forwarding to dynamically route multicast traffic.
Reqiures multicast forwarding enabled
WWW: https://github.com/pali/igmpproxy
-
C'est bon j'ai réussi a update :)
root@OPNsense:/home/kaktuss # pkg info igmpproxy
igmpproxy-0.2.1_1,1
Name : igmpproxy
Version : 0.2.1_1,1
Installed on : Tue Oct 9 11:03:36 2018 CEST
Origin : net/igmpproxy
Architecture : FreeBSD:11:amd64
Prefix : /usr/local
Categories : net
Licenses : GPLv2+
Maintainer : franco@opnsense.org
WWW : https://github.com/pali/igmpproxy
Comment : Multicast forwarding IGMP proxy
Options :
PIE : on
RELRO : on
SAFESTACK : on
Annotations :
FreeBSD_version: 1101001
repo_type : binary
repository : OPNsense
Flat size : 166KiB
Description :
igmpproxy is a simple multicast routing daemon based on mrouted. It uses IGMP
forwarding to dynamically route multicast traffic.
Reqiures multicast forwarding enabled
WWW: https://github.com/pali/igmpproxy
Tu arrives à avoir la TV ?
-
Tu arrives à avoir la TV ?
Suspens je suis pas sur place, je rentre manger pour la pause dej, je te dis ça :)
-
Le Vlan840 a bien un PcP a 5?
-
Le Vlan840 a bien un PcP a 5?
https://github.com/opnsense/docs/blob/d3d5c6445e1aebc37fcc1bf80c63973bd1453f19/source/manual/how-tos/orange_fr_tvf.rst
première page - OUI
-
Marche pas :(
tcpdump de l'interface ou est le décodeur :
root@OPNsense:/home/kaktuss # tcpdump -ni igb3 igmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on igb3, link-type EN10MB (Ethernet), capture size 262144 bytes
12:55:38.180941 IP 192.168.3.254 > 224.0.0.1: igmp query v2
12:55:40.868247 IP 192.168.3.1 > 239.255.255.250: igmp v2 report 239.255.255.250
12:55:44.283925 IP 192.168.3.254 > 224.0.0.1: igmp query v2
tcpdump du vlan840
root@OPNsense:/home/kaktuss # tcpdump -ni igb0_vlan840
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on igb0_vlan840, link-type EN10MB (Ethernet), capture size 262144 bytes
12:57:45.212268 IP 0.0.0.0 > 224.0.0.1: igmp query v2
^C
-
doit être votre config. Beaucoup l'ont, y compris moi
-
Je viens d'ajouter le Vlan 838 pensant que c'était ça mais non.
Le décodeur est directement brancher à l'interface igb3,
Les rules firewall, sont any any pour les interface igb3, vlan838 et vlan840
-
vérifiez que vous avez ceci sur les règles de pare-feu
-
Parfait, c'était ça :)
-
En fouillant sur Aliexpress je suis tombé sur ça Routeur 2SFP+2LAN J1900 (https://fr.aliexpress.com/store/product/4LAN-Quad-Core-Celeron-J1900-Mini-PC-with-Fan-PFsense-Firewall-Router-Mini-Server-Computer-2/3682081_32895049684.html?spm=a2g0w.12010615.8148356.26.51cb5b23VqQ2A4)
il y a t-il des optimisations à faire ici?
Merci
-
Bonjour,
Suite à ce message https://lafibre.info/orange-installation/module-sfp-pour-livebox-4/msg574623/#msg574623 concernant l'intégration d'un ONT SFP d'Orange dans un routeur MikroTik, je m'interroge sur la possibilité d'utiliser l'ONT SFP d'Orange sur une machine OPNSense.
J'aimerais tester l'ONT Sercomm FGS202 dans une Mellanox ConnextX-3 (dual SFP+). La carte est présente dans la liste de compatibilité de FreeBSD 11.1.
Qu'en pensez-vous ?
Suite à ce post, j'ai tenté de faire fonctionner l'ONT Sercomm FGS202 sur un serveur DELL R220 équipé d'une carte PCI Mellanox ConnectX-3 mais ça n'a pas fonctionné car l'ONT n'est pas détecté physiquement dans le port SFP, l'ONT étant installé dans le port 1, mlxen0 :
bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=c0098<VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,VLAN_HWTSO,LINKSTATE>
ether f4:8e:38:c4:f1:24
hwaddr f4:8e:38:c4:f1:24
inet 172.16.1.10 netmask 0xffffff00 broadcast 172.16.1.255
inet6 fe80::1:1%bge0 prefixlen 64 scopeid 0x1
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
bge1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=c019b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,VLAN_HWTSO,LINKSTATE>
ether f4:8e:38:c4:f1:26
hwaddr f4:8e:38:c4:f1:26
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect
enc0: flags=0<> metric 0 mtu 1536
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
groups: enc
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet 127.0.0.1 netmask 0xff000000
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
groups: lo
pfsync0: flags=0<> metric 0 mtu 1500
groups: pfsync
syncpeer: 0.0.0.0 maxupd: 128 defer: off
pflog0: flags=100<PROMISC> metric 0 mtu 33160
groups: pflog
mlxen0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=ed00b8<VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,VLAN_HWFILTER,VLAN_HWTSO,LINKSTATE,RXCSUM_IPV6,TXCSUM_IPV6>
ether f4:52:14:1e:f6:b0
hwaddr f4:52:14:1e:f6:b0
inet6 fe80::f652:14ff:fe1e:f6b0%mlxen0 prefixlen 64 scopeid 0x7
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect
status: no carrier
mlxen1: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=ed07bb<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,JUMBO_MTU,VLAN_HWCSUM,TSO4,TSO6,LRO,VLAN_HWFILTER,VLAN_HWTSO,LINKSTATE,RXCSUM_IPV6,TXCSUM_IPV6>
ether f4:52:14:1e:f6:b1
hwaddr f4:52:14:1e:f6:b1
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
media: Ethernet autoselect
status: no carrier
mlxen0_vlan832: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=680000<LINKSTATE,RXCSUM_IPV6,TXCSUM_IPV6>
ether f4:52:14:1e:f6:b0
inet6 fe80::f652:14ff:fe1e:f6b0%mlxen0_vlan832 prefixlen 64 scopeid 0x9
nd6 options=23<PERFORMNUD,ACCEPT_RTADV,AUTO_LINKLOCAL>
media: Ethernet autoselect
status: no carrier
vlan: 832 vlanpcp: 0 parent interface: mlxen0
groups: vlan
J'aimerais concrétiser cette installation et trouver une carte PCI compatible avec l'ONT Sercomm.
-
L'ONT Orange est un SFP (donc 1 Gbps) et ta carte semble ne supporter que du 10 Gbps et plus.
Ce qui expliquerais le non fonctionnement.
-
Les cartes sfp Intel fonctionnent peut etre. Je pense à la Intel Ethernet Controller I350-AM2
-
Des joueurs XBox avec OPNSense? j'ai fait mes ports forwarding, mais je reste en NAT mode strict et la XBox n'arrive pas a voir une IP Teredo.
Edit : j'ai tester le plugin upnp, mais ça ne marche pas non plus, je vois pas les règles dans la partie status.
-
Bonjour à tous,
Je m'auto réponds, il faut autorisé le LAN à communiquer sur le port 2189 et 1900 avec l'adresse locale LAN du routeur.
Action pass - Src Address : LAN -- Dst Address : LAN_Address -- Dst port : 2189
Action pass - Src Address : LAN -- Dst Address : LAN_Address -- Dst port : 1900
et à partir de là, les ouvertures de port dynamique s'implèmente bien dans l'UPNP.
Sinon J'ai un switch TPLink T1500G-10Ps, je viens de finir la config de l'IGMP Snooping je vous la partagerais en éditant ce message.
-
Bonjour à tous,
Voici ma config IGMP Snooping sur le switch TP-Link T1500G-10PS
Petit rappel de mon architecture
Port 1 --> Port LAN du Routeur OPNSense ---- LAN en Vlan 10 non tagué, Lan-décodeur Vlan 3 tagué
Port 7 --> Port ethernet du décodeur ---- Vlan 3 non tagué
Port 8 --> Port WAN du Routeur OPNSense ---- Vlan 832,835,838,840 tagué (le 835 c'est au cas ou l'archi DHCP soit HS (voir sujet Baggotage infra DHCP (https://lafibre.info/orange-internet/chelles-77500-coupures-de-services-bagottage/)
Port 10 --> ONT SFP -- tag Vlan 832,835,838,840
Sur la capture IGMP-1, j'ai activé le support IGMP Snooping , à la foi sur les ports physique et sur les Vlan, je pense que pour les port 1, 8 et 10, cela n'est pas obligé, il faut que je teste.
La capture IGMP-2, montre l'activation de IGMP Snooping sur les ports 1,7, 8 et 10
La capture IGMP-3 montre l'activation de IGMP Snooping sur les Vlan 3 et 840 sur les ports physique correspondant.
La capture IGMP-4 montre le demandeur des flux IGMP, ici le routeur OPNSense (proxy IGMP)
Les capture IGMP-5-1 et IGMP-5-2 montre la table dynamique des flux, IGMP-5-1 décodeur off, IGMP-5-2 décodeur on avec une chaîne affichée
-
Bon travail
J'ai mon décodeur sur un sous-réseau distinct du routeur OPNsense. Y a-t-il une raison pour laquelle vous n'avez pas adopté cette approche? Je crois que cela nie la nécessité de IGMP snooping
-
Merci,
Mon LAN est en 192.168.10.0/24, le LAN Décodeur est en 192.168.3.254.
Quand je suis IGMP Snooping off cela fonctionne très bien aussi, mais les flux multicast sont envoyer sur tout les ports. avec l'IGMP Snooping ON, j'évite de polluer le reste de mon réseau (j'ai d'autres ports en mode trunk et le flux IGMP dans le VLAN3 leurs était envoyé)
-
Oui, mais vous avez utilisé des VLAN sur un port OPNsense. VLAN 3 et 10. Donc, je suppose que vous avez fait cela sur un port d’OPNsense, par exemple igb2. J'ai mon réseau local 192.168.100.0/24 sur igb1 et un autre réseau local "TVLAN" 192.168.50.0/24 sur igb2. IGMPproxy envoie tout le trafic à TVLAN sur le port igb2. Pas de pollution de mon LAN.
-
Je crois que cela nie la nécessité de IGMP snooping
Tant qu'il y a un seul décodeur, oui. A partir du moment où il y a plusieurs décodeurs, tous recevront l'ensemble des flux. Ou alors il faut faire un VLAN par décodeur...
Chez moi, sur mon VLAN "TV", il y a 2 décodeurs et 2 smart TV. sans IGMP snooping, les TV recevraient le flux multicast...
-
Tant qu'il y a un seul décodeur, oui. A partir du moment où il y a plusieurs décodeurs, tous recevront l'ensemble des flux. Ou alors il faut faire un VLAN par décodeur...
Chez moi, sur mon VLAN "TV", il y a 2 décodeurs et 2 smart TV. sans IGMP snooping, les TV recevraient le flux multicast...
ah maintenant je comprends. La France est ma deuxième maison donc pas besoin de plus d’un décodeur TV. Je visite pour profiter des environs :-)
-
@Zoc. Cela m'amène à une autre question. Quelqu'un at-il vérifié si l'option 125 est requise pour certains décodeurs de télévision? Le mien fonctionne bien sans mais c'est l'un des décodeurs les plus anciens. Est-ce juste les nouveaux?
-
En effet pas de pollution de mon LAN Vlan 10. Mais j'ai des interco en mode Trunks et de ce fait le multicast du Vlan 3 est transmis au autres Switch.
Vlan 10 est non tagué sur le port igb2, le Vlan 3 est tagué sur igb2
J'ai le décodeur TV4, pas d'options particulières
-
J'ai le décodeur TV4, pas d'options particulières
merci
-
L’option ne semble nécessaire que pour le tout dernier décodeur « UHD ». Cependant, le décodeur TV4 doit pouvoir utiliser le contenu de l’option 125 pour afficher la version de Livebox dans dans l’écran d’informations système. Vu que chez moi je n’envoie pas l’option, j’ai « indisponible » en face de la ligne « version Livebox »...
Ca ne m’étonnerait pas trop que tôt ou tard l’option 125 devienne obligatoire...
-
Merci Zoc pour l'info,
je vais aller me pencher la dessus. Juste histoire de faire quelque chose de propre.
-
Alors j'ai regardé les différent topic notamment celui là Tuto Remplacer la livebox par un routeur DDWRT (https://lafibre.info/remplacer-livebox/tuto-remplacer-la-livebox-par-un-routeur-dd-wrt-internet-tv/msg583955/#msg583955)
La chaîne option 125 pour les décodeurs TV se présente sous cette forme :
Ligne de référence : 00:00:0d:e9:24:04:06:YY:YY:YY:YY:YY:YY:05:0f:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:06:09:4c:69:76:65:62:6f:78:20:ZZ
YY : c'est les 3 premier caractères de la mac address de la LiveBox en hexa
XX : c'est le numéro de série de la LiveBox en hexa
ZZ : c'est la version de la LiveBox (3 ou 4) toujours en héxa
-
lancer mon script sur la première page, il fournit toutes les options :-)
-
Ah trop frais :P j'avais pas fait attention :/
-
La chaîne option 125 pour les décodeurs TV se présente sous cette forme :
Oui, mais alors bizarrement après avoir généré la mienne, dès que je la met en place mon décodeur ne prend plus d'IP du tout... Je n'ai pas creusé beaucoup plus, mais je l'ai relue plusieurs fois et elle me semble bonne. Prochaine étape: sniffer ce que le serveur DHCP de la box envoie pour enfin trouver où j'ai fait une erreur (sans doute trop grosse pour que je la vois :p)
-
intéressant. @kaktuss77 faites-nous savoir ce que vous voyez. Je voudrais tester mais je ne suis pas en France avant novembre
-
Yes la je suis a distance, je regarde ça ce soir. Au pire comme Zoc l'a dit je snifferais le traffic
Par contre, je suis toujours en galère avec IPv6,
J'ai étendu le préfixe a /56 dans la config de base du dhcpv6, Ce qui me permet de d'avoir 1 préfixe /64 par sous réseau ^^ (Orange provisionne un /56)
Par j'ai bien une IPv6 sur mon interface lan. mais les PCs n'ont pas d'IPv6 :(
-
utilisez-vous Track interface pour dhcpv6
et
Manual Configuration - décochée
-
Oui,
Depuis le routeur, je peux même pinguer lafibre.info avec la commande ping6 lafibre.info
-
Avez-vous déjà essayé de brancher un ordinateur sur le port LAN du routeur afin d’éviter les commutateurs VLAN? Peut-être y at-il un problème avec dhcp6 et vlans?
-
Je suis hors Vlan pour mon LAN,
Mais je vais tester
-
Hello,
j'avais dis que je ferais un retour, et bien le voici,
dans le menu maintenance j'ai bien écris LiveBox 4
Je confirme donc la syntaxe suivante pour l'option 125 du serveur DHCP pour le décodeur TV :
Ligne de référence : 00:00:0d:e9:24:04:06:YY:YY:YY:YY:YY:YY:05:0f:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:06:09:4c:69:76:65:62:6f:78:20:ZZ
YY : c'est les 3 premier caractères de la mac address de la LiveBox en hexa
XX : c'est le numéro de série de la LiveBox en hexa
ZZ : c'est la version de la LiveBox (3 ou 4) toujours en héxa
petite photo ;D
-
Les gars vous pouvez pas test, je suis dans le "Tur-Fu" :P ça m'a bien fait rire en tout cas
-
Bonjour,
Pour commencer, je voudrais vous remercier pour le guide et le script en première page. Néanmoins, j'ai essayé de mettre en application le guide, mais je n'arrive pas à faire fonctionner mon routeur OPNsense. Il ne récupère pas d'adresse ip (v4 et v6) WAN. Ma version d'OPNsense est la 18.7.4. Dans la capture ça n'apparait pas mais j'ai également testé les paramètres régionaux dans "Option modifiers".
J'en profite pour signaler que les champs de "Prefix interface" ont été fusionnés.
PS : J'utilise l'ONT Huawei dans cette configuration. Je possède également le SFP Sercomm mais j'attends de recevoir un switch avec cage SFP pour le tester (voir mes posts précédents).
-
pour ipv4 il vous manque les “option modifiers”. pour ipv6 la longueur du préfixe est 8 et non 0
-
@delurk : quand tu utilises la LiveBox tu utilises l'ONT externe ou SFP?
Car il me semble que maintenant Orange utilise aussi le Serial Number de l'ONT pour gérer l'authentification sur l'OLT
edit : @nivek1612, je vois sur la capture de delurk, qu'il n'y a pas d’espace entre les , et la suite, est-ce gênant?
-
Pour réponde à vos questions :
Sur les captures d'écran ça n'apparait pas, mais j'ai déjà testé avec les paramètres "Option modifiers" et le Préfix à 8. C'est toujours le même problème : dhclient[19150]: No DHCPOFFERS received.
Actuellement, j'utilise l'ONT externe (Huawei HG8010H). Comment fait-on pour gérer l'authentification par numéro de série ?
-
postez le contenu de /var/etc/dhclient_wan.conf. N'oubliez pas de supprimer vos informations d'identification
-
Comment fait-on pour gérer l'authentification par numéro de série ?
On ne peut pas. Le numéro de série de l'ONT doit être entré dans la base de données d'Orange. M'étonnerait qu'ils acceptent de le faire sur la demande d'un client ;)
Conlusion: Un seul ONT peut fonctionner sur une ligne.
-
@zoc, tu as pu voir pour ton soucis d'option 125? car moi ca marche nickel, voir messages Message Photo Décodeur (https://lafibre.info/remplacer-livebox/opnsense-remplacer-livebox-aucune-modification-necessaire/msg585560/#msg585560) et celui la Message Photo Decodeur - Humour (https://lafibre.info/remplacer-livebox/opnsense-remplacer-livebox-aucune-modification-necessaire/msg585568/#msg585568)
-
Non, pas trop le temps.
Je pense que j'ai du me planter dans la config. de mon ER4: Ce matin j'ai comparé les chaines générées par mon script et celui de @nivek1612 et elles sont strictement identiques...
-
J'espère qu'ils ne se trompent pas tous les deux alors :-)
-
@nivek @zoc, vous pouvez poster votre chaine? ou me la PM?
la fin est bien avec 4 exprimé héxa?
edit : j'ai vérifier le script c'est OK
-
postez le contenu de /var/etc/dhclient_wan.conf. N'oubliez pas de supprimer vos informations d'identification
J'ai appliqué vos recommandations, voici le fichier :
interface "bge1_vlan832" {
# DHCP Protocol Timing Values
# DHCP Protocol Options
send dhcp-class-identifier "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send option-90 00:00:00:00:00:00:00:00:00:00:00:1a:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:13;
request subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search, routers,domain-name-servers,option-90,option-120,option-125;
vlan-parent"bge1";
vlan id 832;
vlan-pcp 6;
script "/usr/local/opnsense/scripts/interfaces/dhclient-script";
}
Concernant l'authentification par numéro de série, si j'ai bien compris, il s'agit d'un processus avec l'ONT (hors routeur). Donc pour moi c'est bon puisqu'il fonctionne avec ma LB3.
-
vlan-parent "bge1";
vlan-id 832;
vlan-pcp 6;
vous avez manqué le "-" dans vlan-id
-
pourquoi aussi 13 à la fin de l'option-90 ???
-
pourquoi aussi 13 à la fin de l'option-90 ???
Il s'agit d'une partie de mon identifiant en hexa qui n'est pas masqué. Ça ne fonctionne toujours pas malgré vos conseils.
-
et vous avez corrigé cela
vlan-id
-
Pour le moment le décodeur se fiche de la valeur de l'option 125 puisqu'on peut y mettre ce qu'on veut.
@delurk : un screenshots de l'assignement des interfaces ?
-
et vous avez corrigé cela
vlan-id
Oui.
-
Entre chaque option il y a une virgule, essai de mettre un espace
Je m'explique.
Actuellement options,options
Faire
option1, option2
-
le fichier conf est construit correctement, donc ce n'est pas le problème
Je pense que nous avons besoin de voir une capture WireShark pour voir ce qui est publié
-
Edit : capture Wireshark voir plus bas.
-
S'il vous plaît utiliser Wireshark pour capturer. C'est gratuit et capture les cadres
-
J'ai capturé le wan branché directement à mon portable. Cette fois ci on voit le dhcp
Edit : à moins que ce soit les requêtes dhcp de mon portable...
-
J'ai capturé le wan branché directement à mon portable. Cette fois ci on voit le dhcp
Edit : à moins que ce soit les requêtes dhcp de mon portable...
c'est le bon
Pouvez-vous agrandir la ligne 124 nous avons besoin de voir le cadre en détail. Cachez vos identifiants
-
ou mieux encore, changez vos informations d'identification dans l'interface graphique, puis partagez la capture réelle de Wireshark afin que je puisse passer en revue toutes les demandes dhcp et dhcpv6.
-
Bonjour,
Tout d'abords merci pour ce thread sur opnsense que j'ai decouvert hier.
J'avais fais quelques interventions sur le thread sur pfsense pour avoir la tv+internet sans livebox play. J'avais reussi à avoir la connectivite internet, mais a debit tres reduit (60Mb au lieu de 300Mb), j'attendais la version 2.4.4 pour y voir plus clair (plus de patch de lib à faire).
J'ai neanmoins installe rapidement opnsense pour voir si il y avait uen difference, suivi le tuto et j'arrive a me connecter sur internet a debit correspondant a mon abonnement (!) , ca me resoud un probleme, je prevois donc de continuer sur la voie opnsense. Je n'ai toujours pas compris pour le debit reduit sous pfsense, la seule grosse difference que je vois c'est le DHCPv6 que je n'avais pas config sur pfsense.
Bref merci pour la solution alternative qui m'a fait avancer. La tele ne marche malheureusement pas dans mon cas (j'ai eut des erreur L11-06 je crois et puis S03 sur le decodeur) et je vais creuser un peu plus pour voir ce que j'ai rate chez moi.
J'ai remarquer un truc de bizarre aujourd'hui sur l'interface de ma livebox. La video a la demande est sur le VLAN 832 (le meme que le flux internet), j'etais quasi sur que ca devais etre 838 ... j'ai reve ?
(https://nsa39.casimages.com/img/2018/10/17/181017054557715076.png)
A noter que hier en faisant mon test de connection j'ai suivi le tuto en mettant les vlan 838 et vlan 840 et j'ai bien une ip en 10.x.x.x sur le 838 (y aurai -il eut un changement cette nuit ?)
Autre point pour les dns sur le vlan 838 j'ai copie les ip des dns orange de ma livebox (qui sont different de ceux du tuto), est ce une erreur ?
Merci pour vos commentaires.
-
voir la page 18 de ce fil sur les paramètres de pare-feu, il manque dans le wiki
-
Bonjour,
Voici la capture du WAN avec de faux identifiants.
Edit : pj supprimée
-
Cela fonctionne pour beaucoup de gens, vous devez donc revérifier votre configuration car la requête DHCP est envoyée sans l'option 90 et n'est pas envoyée via vlan 832.
Assurez-vous d’avoir OPNsense 18.7.4.
-
@Trap16 :
Je suppose que tu as le décodeur TV Play ou le V4,
est-il dans un Lan dédier? Personnellement, mon décodeur est dans un LAN qui lui est didié. (192.168.3.0/24 - RtR en 192.168.3.254/24 et le décodeur a l'IP 192.168.3.1)
J'ai fait un règle spécifique pour le flux IGMP sur ce réseau avec l'option "Allow options" dans les paramètre de la règle.
Pour le reste du trafic IPv4, Allow options n'est pas activé.
As-tu configuré le proxy IGMP?
voir capture TV_PROXY-3
Si tu as le décodeur TV UHD (v5??) (le tout petit)
Il faut ajouter l'option 125 dans le serveur DHCP du réseau ou il y a le décodeur. (il faut également que les DNS soit ceux d'Orange - ceux de ta box sont OK)
Ligne de référence : 00:00:0d:e9:24:04:06:YY:YY:YY:YY:YY:YY:05:0f:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:06:09:4c:69:76:65:62:6f:78:20:ZZ
YY : c'est les 3 premier caractères de la mac address de la LiveBox en hexa (à rentrer sans les : dans le converter string to hex)
XX : c'est le numéro de série de la LiveBox en hexa
ZZ : c'est la version de la LiveBox (3 ou 4) toujours en héxa
J'ai utilisé le site https://codebeautify.org/string-hex-converter pour faire mes conversion. Il suffit juste d'ajouter les :
edit : Concernant le vlan de TV VoD 838, il n'ai plus utilisé, d'ou le 832 à la place ^^
-
@kaktuss77
Merci pour les infos sur les regles , je vais tester ca.
Pour mon decodeur j'ai l'option double decodeur , j'ai le decodeur play (noir et assez gros, meme taille que la livebox play) et le vieux blanc de la generation precedente (qui fait du 1080i, je crois que c'est l'UHD90)
Il est sur un LAN dedie (mon interface LAN est en 172.16.0.0/16, la tele sur une interface en 192.168.50.0/24 -celle du tuto-)
D'ailleurs question de noob, sur l'igmp proxy le parametrage utilise un 172.0.0.0/8 , est ce que ca pose un conflit avec mon LAN (172.16.0.0/16) ?
Je n'ai pas la regle pour le flux IGMP , je vais la mettre ben place
Le proxy IGMP est configure comme sur le tuto
Je n'ai pas l'option 125 dans le serveur DHCP, mais c'est les vieux decodeur (je garde cette info pour test quand meme)
Pour le vlan838 inutilise, est ce a dire que ce qui concerne le 838 dans le tuto est inutile est dois etre fait adapte pour le 832 ? (je confirme que j'ai bien une ip 10.x.x.x sur le 838, il dois donc y avoir du traffic)
J'avais fait les tests suivant pour le decodeur :
1) les deux decodeur sur un switch 1er prix netgear a 30eur , le switch branche sur l'interface opnsense -> KO
2) un seul decodeur (le blanc je crois) sur l'interface opnsense (j'avais un doute sur le fonctionnement avec un switch non managé -j'ai un dlink DGS managé pour le montage final-) -> KO aussi
Derniere info, je faisais parti des gens qui devaient envoyer une authentification plus longue que le fti/... , ce depuis 1 ans au moins (je m'en suis apercu en verifiant sur wireshark), j'ai donc suivi le tuto a lettre sauf pour la chaine que j'envois pour m'identifier.
merci de votre reponse.
-
@kaktuss77
Merci pour les infos sur les regles , je vais tester ca.
Pour mon decodeur j'ai l'option double decodeur , j'ai le decodeur play (noir et assez gros, meme taille que la livebox play) et le vieux blanc de la generation precedente (qui fait du 1080i, je crois que c'est l'UHD90)
OK
Il est sur un LAN dedie (mon interface LAN est en 172.16.0.0/16, la tele sur une interface en 192.168.50.0/24 -celle du tuto-)
D'ailleurs question de noob, sur l'igmp proxy le parametrage utilise un 172.0.0.0/8 , est ce que ca pose un conflit avec mon LAN (172.16.0.0/16) ?
Bonne question, en vérifiant sur ma capture, et dans mon routeur, seul le réseau 193.0.0.0/8 est déclaré correctement. les autres sont en /32 chez moi, autant dire qu'ils ne servent pas. Et je n'ai pas remarqué de dysfonctionnements.
Je n'ai pas la regle pour le flux IGMP , je vais la mettre ben place
Le proxy IGMP est configure comme sur le tuto
Je n'ai pas l'option 125 dans le serveur DHCP, mais c'est les vieux decodeur (je garde cette info pour test quand meme)
Yes, dans ce cas, pas besoin. par contre le serveur DHCP de mon coté j'ai ajouter en domaine orange.fr
Pour le vlan838 inutilise, est ce a dire que ce qui concerne le 838 dans le tuto est inutile est dois etre fait adapte pour le 832 ? (je confirme que j'ai bien une ip 10.x.x.x sur le 838, il dois donc y avoir du traffic)
Non, tu le supprime tout simplement. En faite les flux qui était envoyé dans le 838, sont maintenant dans le 832, mais sans réseau supplèmentaire, ca sorte avec ton IP Publique.
[/quote]
J'avais fait les tests suivant pour le decodeur :
1) les deux decodeur sur un switch 1er prix netgear a 30eur , le switch branche sur l'interface opnsense -> KO
2) un seul decodeur (le blanc je crois) sur l'interface opnsense (j'avais un doute sur le fonctionnement avec un switch non managé -j'ai un dlink DGS managé pour le montage final-) -> KO aussi
Tu peux faire un TCPDUMP de l'interface qui est configurée pour ton décodeur.
tcpdump -w /tmp/capture.pcap -ni igbX
option w pour enregistrer dans un fichier (récupération par ssh)
option ni pour spécifier l'interface
igbX représente l'interface qui porte le réseau de ton décodeur.
Derniere info, je faisais parti des gens qui devaient envoyer une authentification plus longue que le fti/... , ce depuis 1 ans au moins (je m'en suis apercu en verifiant sur wireshark), j'ai donc suivi le tuto a lettre sauf pour la chaine que j'envois pour m'identifier.
merci de votre reponse.
Tu peux nous en dire plus? Je n'ai pas suivant ce topic :(
-
Non, tu le supprime tout simplement. En faite les flux qui était envoyé dans le 838, sont maintenant dans le 832, mais sans réseau supplèmentaire, ca sorte avec ton IP Publique.
Faites attention. J'ai testé avec un ancien décodeur UHD et il nécessitait encore le VLAN 838. Le guide est écrit pour fonctionner avec tous les décodeurs.
-
D'après la capture d'écran sur la livebox 4, le 838 ne semble plus du tout porté par la livebox, donc a tester, je pense au cas par cas
-
LiveBox 3
-
En effet. Mais le Vlan 838 ne semble plus porté
-
Pareil sur LB4...
-
Pareil sur LB4...
En effet j'ai remarqué sur la mienne aussi.
-
Je vais tester sur mon ancien Livebox 3 et mon ancien décodeur TV lors de mon retour en France. S'il n'utilise plus le VLAN 838, je mettrai à jour le wiki. Mais pour le moment, assurons-nous que cela fonctionnera pour tous. L'ajout du VLAN 838 ne fait pas de mal aux utilisateurs de LB4. Le supprimer peut arrêter certains systèmes plus anciens
-
Cela fonctionne pour beaucoup de gens, vous devez donc revérifier votre configuration car la requête DHCP est envoyée sans l'option 90 et n'est pas envoyée via vlan 832.
Assurez-vous d’avoir OPNsense 18.7.4.
Bonjour,
Oui mon firmware est en version 18.7.4.
J'ai effectué de nouvelles captures avec Wireshark sur ma LB3 et sur mon routeur OPNsense avec mes identifiants réelles :
1. Je n'ai pas réussi à identifier le VLAN 832 selon cet exemple (https://wiki.wireshark.org/VLAN#Example_traffic) ni sur la LB3 ni sur le routeur OPNsense. Le broadcast est-il vraiment tagué ?
2. Concernant l'option 90, le post de @trap16, cité ci-dessous m'a interpellé, la capture de l'option 90 sur LB3 fait 59 bytes et la capture sur mon routeur OPNsense de l'option 90 obtenue avec le script de @zoc fait 26 bytes. Je vais essayer ce soir d'utiliser l'option 90 de ma LB3 dans mon routeur OPNsense pour voir ce que ça donne.
Derniere info, je faisais parti des gens qui devaient envoyer une authentification plus longue que le fti/... , ce depuis 1 ans au moins (je m'en suis apercu en verifiant sur wireshark), j'ai donc suivi le tuto a lettre sauf pour la chaine que j'envois pour m'identifier.
-
1. Je n'ai pas réussi à identifier le VLAN 832 selon cet exemple (https://wiki.wireshark.org/VLAN#Example_traffic) ni sur la LB3 ni sur le routeur OPNsense. Le broadcast est-il vraiment tagué ?
Cela a été évoqué ces derniers jours dans le forum mais où ? ;)
Suivant la marque de la carte et l'OS, il faut faire un peu de paramétrage dessus pour voir les en-têtes 802.1q dans Wireshark. Par exemple sous Windows avec Intel :
https://www.intel.com/content/www/us/en/support/articles/000005498/network-and-i-o/ethernet-products.html
Le broadcast est bien sûr taggé, comme le reste.
-
ça fonctionne !
Il s'agissait bien de mon option 90 qui est plus longue que la normale. J'ai utilisé l'option 90 sniffé depuis ma LB3 pour réussir à me connecter en ipv4.
Il me reste encore à réussir la connexion en ipv6 qui ne fonctionne pas pour le moment... @trap16 si tu passes par là et que tu as réussis, je veux bien un coup de pouce ;)
Je vais également chercher un moyen d'activer le vlan sur ma carte réseau pour mes prochaines captures Wireshark.
-
Il me reste encore à réussir la connexion en ipv6 qui ne fonctionne pas pour le moment... @trap16 si tu passes par là et que tu as réussis, je veux bien un coup de pouce ;)
A tout hasard si tu y as pas pense, en dhcp6 il faut aussi mettre ton identifiant en version longue sur la raw-option 11 (donc la meme valeur que l'option 90 en dhcp)
Je suis en LB Play aussi, et je n'arrive toujorus pas à faire marcher la tele, si tu a reussi, j'aurai qques questions :) Pour le moment je regarde un peu le traffic sur le 838 et 840 et je ferai un status.
Et je serai curieux aussi de savoir si tu as un debit normal avec que la connection ipv4 (speedtest ookla), quand je faisait mes test sur pfsense mon debit etais ridicule (du genre 60Mb/s), sur opnsense je suis a 500Mb/s et la seule difference que je vois c'est que sur pfsense je n'etais connecte qu'en ipv4 (j'avais fait aucune config en ipv6)
-
Je suis que en ipv4 et j'ai 950Mbps down et 300Mbps up
-
En ipv4, j'ai en gros 938/295 et légèrement moins en ipv6 (925/290).
Iperf IPv4:
hj@xxxxx:~$ iperf3 -c ping.online.net
Connecting to host ping.online.net, port 5201
[ 4] local 86.243.x.x port 37404 connected to 62.210.18.40 port 5201
[ ID] Interval Transfer Bandwidth Retr Cwnd
[ 4] 0.00-1.00 sec 37.1 MBytes 311 Mbits/sec 439 370 KBytes
[ 4] 1.00-2.00 sec 35.2 MBytes 295 Mbits/sec 18 345 KBytes
[ 4] 2.00-3.00 sec 35.2 MBytes 296 Mbits/sec 9 317 KBytes
[ 4] 3.00-4.00 sec 35.2 MBytes 295 Mbits/sec 7 281 KBytes
[ 4] 4.00-5.00 sec 35.7 MBytes 300 Mbits/sec 0 368 KBytes
[ 4] 5.00-6.00 sec 35.2 MBytes 295 Mbits/sec 16 338 KBytes
[ 4] 6.00-7.00 sec 35.2 MBytes 295 Mbits/sec 17 304 KBytes
[ 4] 7.00-8.00 sec 35.4 MBytes 297 Mbits/sec 27 270 KBytes
[ 4] 8.00-9.00 sec 35.5 MBytes 298 Mbits/sec 0 358 KBytes
[ 4] 9.00-10.00 sec 35.2 MBytes 296 Mbits/sec 6 329 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.00 sec 355 MBytes 298 Mbits/sec 539 sender
[ 4] 0.00-10.00 sec 352 MBytes 295 Mbits/sec receiver
iperf Done.
hj@xxxxx:~$ iperf3 -c ping.online.net -R
Connecting to host ping.online.net, port 5201
Reverse mode, remote host ping.online.net is sending
[ 4] local 86.243.x.x port 37408 connected to 62.210.18.40 port 5201
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 90.3 MBytes 758 Mbits/sec
[ 4] 1.00-2.00 sec 112 MBytes 938 Mbits/sec
[ 4] 2.00-3.00 sec 112 MBytes 938 Mbits/sec
[ 4] 3.00-4.00 sec 112 MBytes 938 Mbits/sec
[ 4] 4.00-5.00 sec 112 MBytes 938 Mbits/sec
[ 4] 5.00-6.00 sec 112 MBytes 938 Mbits/sec
[ 4] 6.00-7.00 sec 112 MBytes 938 Mbits/sec
[ 4] 7.00-8.00 sec 112 MBytes 938 Mbits/sec
[ 4] 8.00-9.00 sec 112 MBytes 938 Mbits/sec
[ 4] 9.00-10.00 sec 112 MBytes 938 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.00 sec 1.07 GBytes 923 Mbits/sec 56 sender
[ 4] 0.00-10.00 sec 1.07 GBytes 921 Mbits/sec receiver
iperf Done.
Iperf IPv6:
hj@xxxxx:~$ iperf3 -c ping6.online.net
Connecting to host ping6.online.net, port 5201
[ 4] local 2a01:cbx:x:x::1 port 40420 connected to 2001:bc8:1::40 port 5201
[ ID] Interval Transfer Bandwidth Retr Cwnd
[ 4] 0.00-1.00 sec 36.8 MBytes 308 Mbits/sec 386 360 KBytes
[ 4] 1.00-2.00 sec 34.7 MBytes 291 Mbits/sec 12 332 KBytes
[ 4] 2.00-3.00 sec 34.7 MBytes 291 Mbits/sec 7 304 KBytes
[ 4] 3.00-4.00 sec 34.9 MBytes 292 Mbits/sec 9 269 KBytes
[ 4] 4.00-5.00 sec 34.9 MBytes 293 Mbits/sec 0 356 KBytes
[ 4] 5.00-6.00 sec 34.7 MBytes 291 Mbits/sec 19 326 KBytes
[ 4] 6.00-7.00 sec 34.7 MBytes 291 Mbits/sec 17 296 KBytes
[ 4] 7.00-8.00 sec 35.1 MBytes 294 Mbits/sec 17 265 KBytes
[ 4] 8.00-9.00 sec 34.9 MBytes 293 Mbits/sec 0 351 KBytes
[ 4] 9.00-10.00 sec 34.6 MBytes 290 Mbits/sec 5 325 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.00 sec 350 MBytes 294 Mbits/sec 472 sender
[ 4] 0.00-10.00 sec 347 MBytes 291 Mbits/sec receiver
iperf Done.
hj@xxxxx:~$ iperf3 -c ping6.online.net -R
Connecting to host ping6.online.net, port 5201
Reverse mode, remote host ping6.online.net is sending
[ 4] local 2a01:cbx:x:x::1 port 40424 connected to 2001:bc8:1::40 port 5201
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 89.5 MBytes 751 Mbits/sec
[ 4] 1.00-2.00 sec 110 MBytes 925 Mbits/sec
[ 4] 2.00-3.00 sec 110 MBytes 925 Mbits/sec
[ 4] 3.00-4.00 sec 110 MBytes 925 Mbits/sec
[ 4] 4.00-5.00 sec 110 MBytes 925 Mbits/sec
[ 4] 5.00-6.00 sec 110 MBytes 925 Mbits/sec
[ 4] 6.00-7.00 sec 110 MBytes 925 Mbits/sec
[ 4] 7.00-8.00 sec 110 MBytes 925 Mbits/sec
[ 4] 8.00-9.00 sec 110 MBytes 925 Mbits/sec
[ 4] 9.00-10.00 sec 110 MBytes 925 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.00 sec 1.06 GBytes 911 Mbits/sec 7 sender
[ 4] 0.00-10.00 sec 1.06 GBytes 909 Mbits/sec receiver
iperf Done.
-
Ce que Trap voulait dire c'est qu'il n'avait pas configurer IPv6 sur PFSense par rapport a OPNSense.
Il pensait donc que la chute de débit était lié a cela. Or moi je n'ai pas configurer IPv6 et j'ai mon plein débit IPv4
-
@trap16
Edit : mon ipv6 fonctionne après avoir revu ma configuration. J'utilise l'option 11 récupérée via Wireshark en version longue.
Pour la TV, je n'ai pas de décodeur...
Côté bande passante, mon débit est bien restitué :
iperf3 -c ping.online.net
Connecting to host ping.online.net, port 5201
[ 4] local 172.16.1.3 port 54930 connected to 62.210.18.40 port 5201
[ ID] Interval Transfer Bandwidth Retr Cwnd
[ 4] 0.00-1.00 sec 34.5 MBytes 290 Mbits/sec 24 484 KBytes
[ 4] 1.00-2.00 sec 35.0 MBytes 293 Mbits/sec 0 546 KBytes
[ 4] 2.00-3.00 sec 36.2 MBytes 304 Mbits/sec 0 588 KBytes
[ 4] 3.00-4.00 sec 36.2 MBytes 304 Mbits/sec 4 444 KBytes
[ 4] 4.00-5.00 sec 36.2 MBytes 304 Mbits/sec 0 502 KBytes
[ 4] 5.00-6.00 sec 36.2 MBytes 304 Mbits/sec 0 554 KBytes
[ 4] 6.00-7.00 sec 35.0 MBytes 293 Mbits/sec 0 602 KBytes
[ 4] 7.00-8.00 sec 36.2 MBytes 304 Mbits/sec 3 485 KBytes
[ 4] 8.00-9.00 sec 36.2 MBytes 304 Mbits/sec 0 537 KBytes
[ 4] 9.00-10.00 sec 36.2 MBytes 304 Mbits/sec 0 578 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.00 sec 358 MBytes 300 Mbits/sec 31 sender
[ 4] 0.00-10.00 sec 355 MBytes 298 Mbits/sec receiver
iperf Done.
iperf3 -c ping.online.net -R
Connecting to host ping.online.net, port 5201
Reverse mode, remote host ping.online.net is sending
[ 4] local 172.16.1.3 port 54992 connected to 62.210.18.40 port 5201
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 33.2 MBytes 278 Mbits/sec
[ 4] 1.00-2.00 sec 35.8 MBytes 300 Mbits/sec
[ 4] 2.00-3.00 sec 35.8 MBytes 300 Mbits/sec
[ 4] 3.00-4.00 sec 35.8 MBytes 300 Mbits/sec
[ 4] 4.00-5.00 sec 35.8 MBytes 300 Mbits/sec
[ 4] 5.00-6.00 sec 35.8 MBytes 300 Mbits/sec
[ 4] 6.00-7.00 sec 35.8 MBytes 300 Mbits/sec
[ 4] 7.00-8.00 sec 35.8 MBytes 300 Mbits/sec
[ 4] 8.00-9.00 sec 35.8 MBytes 300 Mbits/sec
[ 4] 9.00-10.00 sec 35.8 MBytes 300 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.00 sec 358 MBytes 301 Mbits/sec 40 sender
[ 4] 0.00-10.00 sec 356 MBytes 299 Mbits/sec receiver
iperf Done.
-
La TV Marche !
(https://nsa39.casimages.com/img/2018/10/19/181019110705109348.png)
Alors apres triple check de ma config, j'ai procede a 2-3 manipulations en meme temps (je ne sais pas laquelle a ameliore la situation) car il y avait bien des erreurs/oublis
- Curieusement j'ai fais le meme typo sur l'IGMP proxy que sur la capture d'ecran de kaktuss77, j'ai defini 3 des 4 subnet en /32 au lieu de /8 (j'ai du oublier de remettre a /8 a chaque add)
- J'ai mis le allow option dans la regles firewall all pour le vlan840 et 838 (aucune idee si c'est utile mais je crois que c'etait dans le tuto pfsense)
- Sur la remarque de kaktuss77 (« Réponse #268 le: 17 octobre 2018 à 10:38:53 ») j'ai mis une regle en allow all pour l'IGMP avec "allow options"
Pour memoire j'ai l'option double decodeur avec un decodeur play et un vieux decodeur (le blanc), donc un cas relativement complexe :
j'ai teste avec un decodeur seul branche sur le port dedie au tvlan, puis j'ai mis un switch de base non manage (a 30 eur) pour brancher les deux decodeurs en montage temporaire, ca marche aussi.
J'ai dis une betise en disant que je me connectais en ipv6 par contre, apparemment ca ne marche pas ...
root@OPNsense:~ # ping6 ipv6.google.com
ping6: UDP connect: No route to host
Merci a tous, prochaine etape, migrer cette config totalement et installer opnsense sur la machine finale.
-
@zoc, tu as pu voir pour ton soucis d'option 125? car moi ca marche nickel, voir messages Message Photo Décodeur (https://lafibre.info/remplacer-livebox/opnsense-remplacer-livebox-aucune-modification-necessaire/msg585560/#msg585560) et celui la Message Photo Decodeur - Humour (https://lafibre.info/remplacer-livebox/opnsense-remplacer-livebox-aucune-modification-necessaire/msg585568/#msg585568)
Bon, du coup j'ai refait la config ce matin (avec exactement la même chaine, sauf un 'F' changé en 'f' car les autres octets en hexa sont en minuscules, mais ça m'étonnerait que ça change quoi que ce soit..), et ça fonctionne...
-
Ca a l'air d'etre bon presque partout, cf le screen ci dessous.
Je pense donc que l'ipv6 ne marche pas (la passerelle WAN_DHCP6 n'indique aucune ipv6) ... 1er point a voir.
Pour le 2ieme point j'ai des difficultes avec openvpn, en me connectant a nordvpn (j'ai adapte le tutorial pour pfsense de chez nordvpn), j'ai l'impression que presque tout est bon dans les logs, j'ai bien une ip et une ip virtuelle, mais ca a l'air de coincer au niveau de la passerelle (255.255.255.0 ???) ca a l'air d'etre confirme avec une erreur dans le system log d'ailleurs :
opnsense: /system_general.php: The command '/sbin/route add -host -'inet' '103.86.99.100' '255.255.255.0'' returned exit code '1', the output was 'route: writing to routing socket: Network is unreachable add host 103.86.99.100: gateway 255.255.255.0 fib 0: Network is unreachable'
Pour info 103.86.99.100 est un des dns de nordvpn , et j'ai l'impression qu'il crois que ma gateway est 255.255.255.0 (qui a plutot l'air d'etre un mask ...)
Quelqu'un a une idee sur le probleme ?
(https://nsa39.casimages.com/img/2018/10/21/181021054458760841.png)
-
Partagez votre écran de configuration dhcp6c à partir de l’interface graphique, vérifiez vos paramètres
-
Voila la configuration (j'ai rajoute celle du LAN pour le track ipv6)
Config generale WAN :
https://nsa39.casimages.com/img/2018/10/21/181021083654479502.png (https://nsa39.casimages.com/img/2018/10/21/181021083654479502.png)
Config dhcp6 :
https://nsa39.casimages.com/img/2018/10/21/181021083654552102.png (https://nsa39.casimages.com/img/2018/10/21/181021083654552102.png)
Config LAN :
https://nsa39.casimages.com/img/2018/10/21/181021084200691325.png (https://nsa39.casimages.com/img/2018/10/21/181021084200691325.png)
Le detail du dhcp6 (send options) :
ia-pd 0,
raw-option 6 00:0b:00:11:00:17:00:18,
raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33,
raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d,
raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1A:09:00:00:05:58:01:03:41:01:0D:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:3C:12:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:03:13:zz:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh
- j'ai conceale la raw-option 11 selon le post https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/ , j'ai double check que j'ai bien le meme nombre de caracteres et ceux non caches correspondent. J'utilise la meme chaine pour l'option 90 du dhcp4 et j'arrive a me logger en ipv4 avec. (ceci dis je n'ai pas essaye le login version courte sur le dhcp6 ...)
- En recheckant le tutorial je ne vois pas de difference autre que l'option 11, le seul point ambigu est la partie sur le "prefix interface", je n'ai pas de "site aggregration identifier" dans mon interface et j'ai un "Prefix Interface Site-Level Aggregation Length" que j'ai mis a 8 (ca me semblais correspondre au "Site-Level Aggregation Length" du tutorial)
Merci
-
Cela semble bon.
pouvez-vous partager /var/wtc/dhcp6c_wanf.conf
afin que nous puissions vérifier qu'il est correctement construit
Des messages d'erreur dhcp6c dans le journal DHCP?
Si c'est bon, nous devons voir wireshark de la requête dhcp6c.
-
root@OPNsense:/var/etc # cat dhcp6c_wan.conf
interface igb1_vlan832 {
send ia-pd 0;
send raw-option 6 00:0b:00:11:00:17:00:18;
send raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
send raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d;
send raw-option 11 xxxxxxxxxxxxxxx
script "/var/etc/dhcp6c_wan_script.sh";
};
id-assoc pd 0 {
prefix-interface igb2 {
sla-id 0;
sla-len 8;
};
};
root@OPNsense:/var/etc # cat dhcp6c_wan_script.sh
#!/bin/sh
if [ -n '' ]; then
/usr/bin/logger -t dhcp6c "dhcp6c $REASON on igb1_vlan832"
fi
case $REASON in
REQUEST|EXIT)
/usr/bin/logger -t dhcp6c "dhcp6c $REASON on igb1_vlan832 - running newipv6"
/usr/local/opnsense/service/configd_ctl.py interface newipv6 igb1_vlan832
;;
*)
;;
esac
root@OPNsense:/var/etc #
(option 11 conceale)
Le "prefix-interface igb2" me fait ticker, igb2 c'est mon inetrface LAN, c'est correct ?
Pour info, je crois que lors de l'install j'ai change manuellement via le webGUI une interface pour changer son igb (les ports n'etais pas "bien" ranges pour mes cables) , je confirme que igb1 c'est pour le wan.
[EDIT] les 30 dernier lignes de log de /var/log/dhcpd.log sur dhcp6c
root@OPNsense:/var/log # cat dhcpd.log | grep dhcp6c | tail -30
Oct 20 05:22:18 OPNsense dhcp6c[38896]: freeing op data at 0x6b85226140
Oct 20 05:24:27 OPNsense dhcp6c[38896]: Sending Solicit
Oct 20 05:24:27 OPNsense dhcp6c[38896]: freeing op data at 0x6b85261080
Oct 20 05:24:27 OPNsense dhcp6c[38896]: freeing op data at 0x6b852682d0
Oct 20 05:24:27 OPNsense dhcp6c[38896]: freeing op data at 0x6b85225030
Oct 20 05:24:27 OPNsense dhcp6c[38896]: freeing op data at 0x6b85226190
Oct 20 05:26:30 OPNsense dhcp6c[38896]: Sending Solicit
Oct 20 05:26:30 OPNsense dhcp6c[38896]: freeing op data at 0x6b85261080
Oct 20 05:26:30 OPNsense dhcp6c[38896]: freeing op data at 0x6b85268330
Oct 20 05:26:30 OPNsense dhcp6c[38896]: freeing op data at 0x6b85225040
Oct 20 05:26:30 OPNsense dhcp6c[38896]: freeing op data at 0x6b85226140
Oct 20 05:28:39 OPNsense dhcp6c[38896]: Sending Solicit
Oct 20 05:28:39 OPNsense dhcp6c[38896]: freeing op data at 0x6b85261080
Oct 20 05:28:39 OPNsense dhcp6c[38896]: freeing op data at 0x6b85268360
Oct 20 05:28:39 OPNsense dhcp6c[38896]: freeing op data at 0x6b85225030
Oct 20 05:28:39 OPNsense dhcp6c[38896]: freeing op data at 0x6b85226190
Oct 20 05:30:15 OPNsense dhcp6c[38896]: restarting
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 45: Got raw option: 6 00:0b:00:11:00:17:00:18
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 45: Raw option 6 length 8 stored at 0x6b852682a0 with data at 0x6b85261088
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 46: Got raw option: 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 46: Raw option 15 length 45 stored at 0x6b85268360 with data at 0x6b85268390
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 47: Got raw option: 16 00:00:04:0e:00:05:73:61:67:65:6d
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 47: Raw option 16 length 11 stored at 0x6b85268150 with data at 0x6b85225030
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 48: Got raw option: 11 xxxxxxxxxxxxxxxxx
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 48: Raw option 11 length 70 stored at 0x6b85268060 with data at 0x6b85226050
Oct 20 05:30:15 OPNsense dhcp6c[38896]: freeing op data at 0x6b85261048
Oct 20 05:30:15 OPNsense dhcp6c[38896]: freeing op data at 0x6b85268450
Oct 20 05:30:15 OPNsense dhcp6c[38896]: freeing op data at 0x6b85225050
Oct 20 05:30:15 OPNsense dhcp6c[38896]: freeing op data at 0x6b852260f0
Oct 20 05:30:15 OPNsense dhcp6c[38896]: freeing op data at 0x8
root@OPNsense:/var/log #
Ca s'arrete net a 5h30:15 le 20 (il y a 28 heures.)
[EDIT 2] J'ai trouve ca ... Oct 20 05:34:21 kernel: pid 38896 (dhcp6c), uid 0: exited on signal 11 (core dumped) ;D
-
Essaye ça.
Accédez au paramètre GUI Wan et cliquez sur SAVE, puis APPLY.
Tout changement ?
-
Je viens rectifier des informations que j'ai données en ce qui me concerne.
En fonçant tête baissé, je ne m'en suis pas aperçu mais tous mes problèmes venaient de la chaine d'authentification. J'ai utilisé le script en première page de @zoc qui n'a pas fonctionné pour ma part. Ce qui a fonctionné, c'est de récupérer ma chaine d'authentification en sniffant ma LB3. Aujourd'hui, j'utilise le même pattern que vous en ipv4 et ipv6 : 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
Pour info @trap16, quand l'ipv6 fonctionne. Tu as une ipv6 qui s'affiche en plus de ton ipv4 sur l'interface LAN.
-
Apparemment le save/apply a laisse igb2 dans le wan_conf.
Je tente de mettre igbb1 a la mano ?
Je ne peux pas reboot en ce moment, j'enregistre un programme TV, mais je rebooterai d'ici 2-3 heures (j'imagine qui si j'ai pris un core, le process de connection en ipv6 est mort)
root@OPNsense:/var/etc # ps -aux | grep dhcp
_dhcp 21459 0.0 0.0 1076336 3008 - Is 21:57 0:00.00 dhclient: igb1_vlan832 (dhclient)
_dhcp 35316 0.0 0.0 1076336 3016 - Is Sat05 0:00.05 dhclient: igb1_vlan838 (dhclient)
dhcpd 55842 0.0 0.1 24732 12068 - Is 21:57 0:00.01 /usr/local/sbin/dhcpd -user dhcpd -group dhcpd -chroot /var/dhcpd -cf /etc/dhcpd.conf -pf /v
root 57573 0.0 0.0 1076276 3044 - Ss Sat05 1:17.75 /usr/local/sbin/syslogd -s -c -c -P /var/run/syslog.pid -l /var/dhcpd/var/run/log -f /var/et
root 88765 0.0 0.3 91324 22088 - Ss 21:57 0:03.95 /usr/local/bin/python2.7 /usr/local/opnsense/scripts/dns/unbound_dhcpd.py /domain jupiter.la
root 85112 0.0 0.0 1080528 2852 0 S+ 22:00 0:00.01 grep dhcp
root@OPNsense:/var/etc # cat dhcp6c_wan.conf
interface igb1_vlan832 {
send ia-pd 0;
send raw-option 6 00:0b:00:11:00:17:00:18;
send raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
send raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d;
send raw-option 11 xxxxxxxxxxxxxxxxxxxx
script "/var/etc/dhcp6c_wan_script.sh";
};
id-assoc pd 0 {
prefix-interface igb2 {
sla-id 0;
sla-len 8;
};
};
-
igb2 est ok
"Enable Debug" avant de redémarrer, nous pouvons consulter le journal DHCP et voir exactement ce qui se passe
-
Apres reboot, ca marche. Je vois une ip6
Pour info je mets en piece jointe le log dhcp6 (j'ai efface les infos sensibles), apparemment il a fait une serie de 8 solicit ene chec et 2 min plus tard il a recommence et a recu son ip
J'ai peut etre pas reboote la machine depuis le core que j'ai vu le 20oct a 5h34 ... j'imagine que ca pourrait expliquer que malgre des settings correct il ne trouvais pas l'ip6.
Par contre je n'ai aucune idee du pourquoi du core (a part peut etre ma manip sur la page interface pour changer le port physique sur une ou plusieurs interfaces), j'ai le fichier sur machine a disposition (sous reserve de faire gaffe si il y a des donnees sensibles dedans)
root@OPNsense:/ # ls -al *core
-rw------- 1 root wheel 1089310720 Oct 20 05:34 dhcp6c.core
Merci !
(https://nsa39.casimages.com/img/2018/10/21/181021115921802059.png)
-
excellent
-
Bonjour,
Je viens d'installer opnSense en machine virtuelle avec deux interfaces réseaux.
em0 => direct vers le Gpon
em0.vlan832 => WAN
em1 => local LAN
J'ai appliqué le dernier patch opnSense donc
18.7.5_1-amd64
FreeBSD 11.1-RELEASE-p14
OpenSSL 1.0.2p 14 Aug 2018
J'ai envie de dire qu'il y a un gros bug dans dhclient du coté de la prio 6
et vlan-parent em0, vlan-pcp 6, vlan-id 866
52:54:00:00:00:00 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 414: vlan 832, p 0, ethertype 802.1Q, vlan 866, p 6, ethertype IPv4, (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 392)
0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from 52:54:00:00:00:00, length 364, xid 0xd4630896, secs 5, Flags [none] (0x0000)
Client-Ethernet-Address 52:54:00:00:00:00
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Vendor-Class Option 60, length 5: "sagem"
Cela insère deux champs 802.1Q !!!
ethertype 802.1Q (0x8100), length 414: vlan 832, p 0, ethertype 802.1Q, vlan 866, p 6
et donc jamais de Offer au Request
(866 c'est volontaire pour bien voir que c'est un deuxième tag)
Je vois pas comment une mauvaise config pourrait aboutir à ça. Je vois pas nom plus KVM/libvirt jouer avec les tags 801Q !
On fait je vois surtout pas l'utilité d'empiler les tags 802.1Q donc comment du code peut produire ça.....
Et pourtant, c'est bien une 'mauvaise config'
vlan-parent "em0", vlan-pcp 6, vlan-id 866
Guillemets sur le nom de l'interface......
En fait ce firewall (opnSense) ne vérifie aucun des paramètres qui sont passés. Si par exemple un champ requiert un entier ou rien, on passe 'toto' sans problème.
Donc j'ai bien mon IP sur WAN
Voila
-
Je me suis attaque a mon dernier probleme, la configuration du VPN.
En resume j'ai besoin de creer un client openvpn (le provider est nordvpn) et l'utiliser pour router le traffic "sensible" qui part de mon reseau.
Ma configuration marchait parfaitement avant (j'utilisais pfsense MAIS il etais connecte derriere la livebox, donc mon WAN etait plugge sur un port de la livebox)
La avec opnsense j'ai pu enfin me debarrasser de la livebox, mon WAN est donc directement sur l'ONT (vlan832), le cablage du reseau n'est donc plus du tout le meme.
J'ai suivi la meme configuration que sous pfsense (routeur derriere livebox) et ca marche presque, apparemment le client se connecte bien ... mais j'ai une gateway bizarre (255.255.255.0) et un message d'erreur :
opnsense: /usr/local/etc/rc.newwanip: The command '/sbin/route add -host -'inet' '103.86.99.100' '255.255.255.0'' returned exit code '1', the output was 'route: writing to routing socket: Network is unreachable add host 103.86.99.100: gateway 255.255.255.0 fib 0: Network is unreachable'
Evidemment impossible de me connecter a un site web en passant par cette gateway.
J'ai fait le test suivant, mon ip virtuelle etant 10.8.8.239 j'ai donc tente dans la GUI sur le gateway NORDVPN_DHCP de mettre a la place de dynamic <-> 10.8.8.1 , et la ca marche je capture bien du traffic sur l'interface NORDVPN quand je vais sur les sites sensibles (qui timeoutaient avec 255.255.255.0)
Mon probleme est que rien ne me garanti que l'ip de ma gateway sera toujours 10.8.8.1 ... voyez vous un moyen de contourner ce soucis, (et accessoirement quelques explications sur ce qui se passe pour ma culture ... nordvpn ne m'envois pas l'ip de la gateway ?, est elle mal mis a jour en dynamic ?) ?
Quelques screens si dessous :
Le probleme avant d'avoir mis en dur l'ip de la gateway :
(https://nsa39.casimages.com/img/2018/10/22/181022043351490067.png)
Apres avoir mis en dur l'ip :
(https://nsa39.casimages.com/img/2018/10/22/181022043351383289.png)
(https://nsa39.casimages.com/img/2018/10/22/181022043351753118.png)
Mes regles de firewall (en gros pour les url ou les machines que je choisi j'envois sur la gateway du VPN , sinon je bloque. Pour les port je fallback sur la gateway WAN -c'est les requetes DNS-)
(https://nsa39.casimages.com/img/2018/10/22/18102204335210368.png)
-
Bonjour a tous,
Merci pour les infos partager ,je vais mon soucis IPv6,
Cependant je recontre un autre soucis.
j'ai des bauds DHCP Statiques. Et quand je modifie 1, il me flush toute la liste :(
-
Bonjour,
Je m'intéresse un peu à OPNSense, j'ai un mikrotik pour le moment, parfait pour mon usage, mais si un jour Orange touche encore à son DHCP... la communauté OPNSense semble réactive et assez ouverte... Question "hard", il y a une appliance de recommandé ? J'ai regardé sur le site, qui renvoi vers des partenaires, mais pas vraiment de comparo... En gros, 100% passif (pas de ventilo), mais suffisamment puissante pour gérer du gb sans problème (voir bénéficier d'une accélération matériel si le concept existe sur OPNsense ?)
Merci : )
-
Qotom LAN i3 ou i5 c'est parfect
-
Effectivement j'ai le qotom q335g4
-
https://www.aliexpress.com/item/Free-Shipping-Qotom-Mini-PC-4-Gigabit-LAN-ports-Celeron-Core-i3-i5-i7-AES-NI/32865467873.html?spm=2114.search0104.3.88.2e25495aHZiwMF&ws_ab_test=searchweb0_0,searchweb201602_5_10065_10068_10130_318_10547_319_10548_317_5728815_10696_450_10192_10190_10084_10083_10618_452_535_534_10307_533_10820_532_10301_10821_10303_204_10059_10884_323_10887_100031_5025918_320_321_322_10103_448_449,searchweb201603_55,ppcSwitch_0&algo_expid=080bac6b-8438-4555-960f-9e501c45ae2b-12&algo_pvid=080bac6b-8438-4555-960f-9e501c45ae2b&transAbTest=ae803_4 (https://www.aliexpress.com/item/Free-Shipping-Qotom-Mini-PC-4-Gigabit-LAN-ports-Celeron-Core-i3-i5-i7-AES-NI/32865467873.html?spm=2114.search0104.3.88.2e25495aHZiwMF&ws_ab_test=searchweb0_0,searchweb201602_5_10065_10068_10130_318_10547_319_10548_317_5728815_10696_450_10192_10190_10084_10083_10618_452_535_534_10307_533_10820_532_10301_10821_10303_204_10059_10884_323_10887_100031_5025918_320_321_322_10103_448_449,searchweb201603_55,ppcSwitch_0&algo_expid=080bac6b-8438-4555-960f-9e501c45ae2b-12&algo_pvid=080bac6b-8438-4555-960f-9e501c45ae2b&transAbTest=ae803_4)
-
Celui là pour moi. Version i3 5005 4g RAM 120g SSD
Sans ventilateur Mini PC 4 Lan Gigabit Ethernet NIC Noyau i3 sécurité AES-NI Qotom Routeur Pare-Feu Pfsense
https://s.click.aliexpress.com/e/btDOUJWp
-
Merci à tous pour vos réponses. :)
-
nivek1612, tu aurais un statut des modifications pour la gestion "orange" (génération des différentes options DHCP) en natif dans opnsense ?
-
Les modifications sont en attente pour Orange, étape suivante. Aucun point de créer une solution à un problème qui n'est pas complètement défini
-
Ok je vois. It's in the box, but waiting for orange to move or change something and see which way to go.
-
Bonjour,
Je rencontre des difficultés avec mon ipv6. Parfois je reçois bien ma configuration ipv6 et parfois non. J'ai coché debug dans l'interface WAN, mais je ne sais pas où regarder les logs.
Quand je n'ai pas d'ipv6, je constate un ralentissement au niveau du chargement des pages web.
-
Bonjour,
Depuis mon poste précédent, le 5 novembre, le problème semble corrigé après un simple reboot.
En cherchant un peu voici un log qui indique un crash de dhcp6c :
Nov 2 09:36:18 P-D1-OPNSENSE1 kernel: pid 27229 (dhcp6c), uid 0: exited on signal 11 (core dumped)
-
Bonjour,
Je ne vais pas être original : ma configuration OPNsense ne fonctionne pas.
Je suis dans une configuration materiel classique : ONT Orange --> Qotom (une des dernières versions sans AES-NI...)
Ma livebox est une livebox 4 (je ne sais pas si le détail est important).
J'ai utilisé le script donné sur le premier message du sujet (version du 14/11/2018) ainsi que le tutoriel OPNsense, avec double check de la configuration et cela ne semble pas fonctionner : aucune acquisition d'adresse IPv4 ou IPv6.
J'ai parcouru le reste du sujet mais je n'ai pas su dégager une démarche claire pour diagnostiquer le problème. Par quoi dois-je commencer?
screen de ma conf? logs (lesquels)? Tout ça?
J'ai cru comprendre que l'on pouvait sniffer les packets de la LB4 afin de comparer la config envoyée par celle-ci sur le WAN vers l'ONT avec celle mise dans OPNsense. J'ai donc branché mon portable (KDE neon) directement sur le WAN de la box (à la place de l'ONT). J'ai enregistré les échanges (mais je ne sais pas quels packets regarder). Je n'ai que des échanges DHCP et DHCPv6, pas de ARP.
Pourriez-vous m'aider à diagnostiquer et résoudre ce(s) problème(s) svp? Merci à vous tous!
-
Bonjour @rainette,
Je vais tenter de t'aider bien que je sois encore un novice avec OPNsense. Je pense avoir été confronté au même problème que toi "aucune acquisition d'adresse IPv4 ou IPv6" ou 0.0.0.0 en IPv4 affichée dans l'interface WAN.
Pour ma part, le script en première page ne m'a pas généré le bon identifiant héxadécimal. Je l'ai récupéré avec une capture Wireshark, il faut regarder les trames DHCP de la Livebox, fenêtre d'affichage de la trame en héxadécimal. Voici un extrait de ma trame où on voit le début de mon identifiant, ligne 0170 :
0140 8a 4d 2c 2b 46 53 56 44 53 4c 5f 6c 69 76 65 62 .M,+FSVDSL_liveb
0150 6f 78 2e 49 6e 74 65 72 6e 65 74 2e 73 6f 66 74 ox.Internet.soft
0160 61 74 68 6f 6d 65 2e 4c 69 76 65 62 6f 78 33 5a athome.Livebox3Z
0170 46 00 00 00 00 00 00 00 00 00 00 00
Il suffit de reprendre l'identifiant en héxadécimal en suivant ce pattern :
00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
-
Merci pour la réponse.
J'ai pu récupérer les packets DHCP et DHCPv6. J'ai vu une différence entre les identifiants fournis par le script et ceux envoyés par la box.
J'ai aussi vu que l'option 90 fait 70 octets, et le champ d'authentification (wireshark connait le protocole donc il isole les différents champs tout seul) est beaucoup plus long que celui donné par le script. Je vais essayer de recopier cet identifiant plutôt que le tronquer à la longueur donnée par le script.
J'ai parcouru tous les autres champs et ils sont identiques, donc ça ne peut que provenir de là. J'aimerais malgré tout comprendre à quoi sont dues ces différences d'authentification. Pour info, je suis en fibre sur Paris, installée depuis 3 ou 4 ans.
EDIT : Je viens de regarder les packets DHCPv6, et cela semble être le même tarif, aucun des identifiants donné dans le script sont équivalents à ceux envoyés par la box. Je vais essayer de modifier tout ça et je tiens au courant.
EDIT2 : J'ai aussi recablé correctement... le mapping imprimé sur le boitier du Quotom ne correspond pas du tout au mapping de pfsense, du coup je m'étais planté aussi sur les aspects cablage. J'ai obtenu mon IPv4, je vais faire la même chose pour l'IPv6
-
Re bonjour,
Donc j'ai reussi à faire fonctionner mon routeur en IPv4, je me suis toujours pas pench2 sur l'IPv6
J'ai configure la TV (VLAN 840) en ajoutant les modifications des regles parefeu pour autoriser les options, j'ai aussi configure l'igmp proxy. J'ai aussi desactive le VLAN838.
La TV fonctionne. Par contre le replay ne fonctionne pas: j'ai acces aux infos des chaines TV et je vois les programmes disponibles en replay, mais impossible de les lancer. (si j’active le VLAN838 je n'ai meme plus acces aux menus du replay)
Une idee?
EDIT: J'ai voulu avancer dans mon installation et j'ai donc installe mon switch manage. Mon port pour la box TV a donc ete tag sur le LAN + TVLAN et tadaaa le replay fonctionne. A la reflexion, je faisais sortir mon TVLAN sur une interface sur laquelle etait branchee ma box TV et donc il ne devait pas "voir" le LAN... (faut vraiment que je me mette au reseau...). maintenant on va faire passer tout ca par le wifi.
DSL pour les accents, je suis en qwerty...
-
Je soupçonne qu'Orange renforce les exigences HASH et qu'elles ne sont plus simplement aléatoires. Donc, pour le moment meilleur pour capturer le WAN
-
@nivek1612
Pour info, lorsque je suis passé en version 18.7.9, j'ai perdu mon DUID pour l'IPv6. Voir ce post : https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/msg605859/#msg605859
Pour voir s'il y a toujours un DUID : Interfaces > Settings > DHCP Unique Identifier
Aujourd'hui, j'utilise toujours l'option 90 en option 11. Dernier reboot hier soir pour mon OPNSense et ONT.
-
Ah oui. 18.7.9 a introduit le support DUID complet pour les types DUID tels que LL LLT UUID. Mais on dirait que vous devez définir le DUID maintenant ou aucun n'est créé. Je vais partager avec les développeurs. J'avais oublié que j'avais changé ça aussi.
REMARQUE: j'ai capturé le DUID à partir de la livebox. Option d'identification du client de la demande DHCP6c afin que je corresponde exactement à la livebox. Cela peut être vérifié dans le futur. DUID est au format LL et est 00: 03: 00: 01: AddressMacEth1.
-
Bonjour,
Plus de connexion depuis ce matin, mais impossible d'en trouver la raison. Et comme je n'ai pas de Livebox, impossible d'analyser.
Une idée de ce qui a changé ces derniers jours ?
J'en était resté à l'ajout de zéro dans l'option 90.
-
Dans OPNSense, les paramètres actuels pour IPv6 dans le wiki fonctionnent, mais la demande dhcp6c ne correspond pas parfaitement à la demande livebox. Les identifiants ClientID, IAID, T1 et T2 ne sont pas alignés. Alors, pour essayer d’empêcher d’autres contrôles Orange à l’avenir, j’ai maintenant un système de test qui correspond parfaitement à l’application Livebox dhcp6c. Je ne serai pas de retour en France avant 2019, alors si quelqu'un veut le tester, faites-le-moi savoir.
-
Je viens de reprendre le script de la première page (en remplaçant md5 par md5sum) et de tout reconfigurer. Je n'utilise pas la TV donc je n'ai pas configuré l'adresse MAC et le numéro de série dans le script (vu que je n'ai pas de Livebox et n'en ai jamais eu), mais ça n'a pas l'air de servir pour la connexion internet de toutes façons.
Résultat : toujours pas d'IPv4 ou d'IPv6...
Pourtant dans le log du DHCP, j'ai bien la récupération d'une IPv4 :
Dec 22 09:18:50
dhclient: New Routers (igb0_vlan832): 90.127.124.1
Dec 22 09:18:49
dhclient: New Routers (igb0_vlan832): 90.127.124.1
Dec 22 09:18:49
dhclient: New Broadcast Address (igb0_vlan832): 90.127.125.255
Dec 22 09:18:49
dhclient: New Subnet Mask (igb0_vlan832): 255.255.254.0
Dec 22 09:18:49
dhclient: New IP Address (igb0_vlan832): 90.127.124.141
-
En fait, j'ai bien d'indiqué l'IPv4 dans la passerelle (avant, je ne l'avais pas là, mais dans Interfaces sur le Tableau de bord).
Par contre, pas de DNS. D'ailleurs, je ne peux même pas pinguer une IP extérieure depuis le routeur (no route to host).
-
Bon, en fait, c'est une panne locale, plus d'Internet et de Ligne Livebox sur mon secteur. Retour prévu le 24/12 à 6h au plus tard... Cool, tout le weekend connecté en 4G avec une latence de merde...
-
Petit up,
avec les changements pour la téléphonie, (histoire de faire un récap)
C'était ça! la téléphonie refonctionne :)
Au final j'utilise ça :
DHCP
- 81.253.149.10
- 80.10.246.3
Dans l'interface de OPNsense
- domain name : orange.fr
- demain search list (option 119) : AUB.access.orange-multimedia.net
- lease time 86400
et en manuel
option 90 : 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30 (dhcpliveboxfr250)
option 120 : 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00 (AUB)
option 125 : 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff
Tout est fonctionnel.Merci, je vais me pencher là-dessus
Je précise en gras "AUB", qui correspond visiblement à ma ville de branchement, cela varie dans les régions, il faut voir au cas par cas.
-
Information
Un double-post pour informer d'une astuce pour éviter d'utiliser wireshark : le bail DHCP envoyé par Orange contient les informations à communiquer à la livebox (en temps normal elle les reçoit directement).
Ce bail est visible dans ce fichier
/var/db/dhclient.leases.<interface> (pour moi "igb0_vlan832", à ouvrir avec vi)
Avantages : récupération du "code" de la ville de connexion, et utilisation des bons serveurs DHCP. Cela permet de suivre l'évolution des options DHCP d'orange au fur et à mesure des changements (non documentés)
Utilisateurs avertis seulement, il faut avoir activé SSH dans System > Administration (mettre en écoute le serveur SSH seulement pour le LAN)
Cet éditeur se ferme en tapant :q
Première constatation : je me connecte à une mauvaise ville, je suis en réalité branché à "LAG" (Lagny sur Marne?) au lieu de "AUB" pour Aubervilliers. Néanmoins le téléphone fonctionne.
Pour rappel, les options 90 et 125 sont identiques pour tout le monde. Les options 119 et 120 varient selon la position de l'abonné, ici les octets "4c:41:47" indiquent "LAG".
lease {
interface "igb0_vlan832";
fixed-address XXX;
next-server XXX;
option subnet-mask 255.255.248.0;
option routers XXX;
option domain-name-servers 80.10.246.130,81.253.149.1;
option domain-name "orange.fr";
option broadcast-address XXX;
option dhcp-lease-time 259200;
option dhcp-message-type 5;
option dhcp-server-identifier 80.10.247.48;
option dhcp-renewal-time 91417;
option dhcp-rebinding-time 207400;
option option-90 0:0:0:0:0:0:0:0:0:0:0:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;
option domain-search "LAG.access.orange-multimedia.net.";
option option-120 0:6:73:62:63:74:33:67:3:4c:41:47:6:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:3:6e:65:74:0;
option option-125 0:0:5:58:c:1:a:0:1:0:0:0:ff:ff:ff:ff:ff;
renew 3 2019/1/16 22:54:28;
rebind 4 2019/1/17 17:57:09;
expire 5 2019/1/18 21:30:51;
}
ça offre des possibilités intéressantes :)
Edit : l'option 125 à bien un octet modifié 0:0:5:58:c:1:a:0:1:0:0:0:ff:ff:ff:ff:ff
De plus, OPNsense n'aime pas les chaînes hexa simplifiée (dans les options DHCP avancées), il faut remplacer par exemple :0:, :1: par :00:,:01:
-
Hello a tous,
ça fait un moment que je suis pas repassé par là, le routeur est d'un stabilité a toute épreuve. Merci a Flo_77, je me demandais pourquoi je n'avais plus de tel depuis 10j lol (je m'en sers tellement peu souvant)
Par contre, je ne récupère plus d'IP V6 :(
09:35:25.540493 IP6 fe80::4262:31ff:fe01:dfdc.546 > ff02::1:2.547: dhcp6 solicit
09:35:25.540519 IP6 fe80::4262:31ff:fe01:dfdc > ff02::2: ICMP6, router solicitation, length 8
09:35:26.541641 IP6 fe80::ba0:bab > fe80::4262:31ff:fe01:dfdc: ICMP6, router advertisement, length 32
09:35:26.635529 IP6 fe80::4262:31ff:fe01:dfdc.546 > ff02::1:2.547: dhcp6 solicit
09:35:28.720550 IP6 fe80::4262:31ff:fe01:dfdc.546 > ff02::1:2.547: dhcp6 solicit
09:35:32.797507 IP6 fe80::4262:31ff:fe01:dfdc.546 > ff02::1:2.547: dhcp6 solicit
09:35:40.864532 IP6 fe80::4262:31ff:fe01:dfdc.546 > ff02::1:2.547: dhcp6 solicit
09:35:57.245605 IP6 fe80::4262:31ff:fe01:dfdc.546 > ff02::1:2.547: dhcp6 solicit
09:36:29.250990 IP6 fe80::4262:31ff:fe01:dfdc.546 > ff02::1:2.547: dhcp6 solicit
09:37:33.760431 IP6 fe80::4262:31ff:fe01:dfdc.546 > ff02::1:2.547: dhcp6 solicit
Fichier
cat /var/etc/dhcp6c_wan.conf
interface igb0_vlan832 {
send ia-pd 0;
send raw-option 6 00:0b:00:11:00:17:00:18;
send raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:34;
send raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d;
send raw-option 11 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;
script "/var/etc/dhcp6c_wan_script.sh";
};
id-assoc pd 0 {
prefix-interface igb2 {
sla-id 0;
sla-len 8;
};
};
-
avez-vous essayé d'utiliser l'option pleine longueur 11
-
Oui sans succès :(
-
Wireshark capture la sortie de OPNsense pour vérifier que la requête dhcp6c est envoyée correctement
-
avez-vous également capturé l'option 11 de la livebox au lieu de la créer?
-
J'ai récupéré une IPv6 hier soir avec la même config, J'ai fait un reboot et depuis c'est KO
-
Il y a un problème qui sera résolu dans 19.1 (date de publication 31 janvier) où les raw-options peuvent être corrompues. dans de rares circonstances, mais un redémarrage le corrige toujours
https://github.com/opnsense/dhcp6c/issues/5
-
Y'a 3j de bail sur l'ipv6 , je vais attendre 3j et voir si le serveur me réponds a nouveau. Je pense qu'il l'a Blacklist ou quelque chose comme ça.
-
Dans les logs j'ai cela :
Jan 29 10:29:57 dhcpd: Internet Systems Consortium DHCP Server 4.4.1
Jan 29 10:28:51 dhcp6c[37368]: freeing op data at 0x438438570a0
Jan 29 10:28:51 dhcp6c[37368]: freeing op data at 0x43843825040
Jan 29 10:28:51 dhcp6c[37368]: freeing op data at 0x438438672d0
Jan 29 10:28:51 dhcp6c[37368]: freeing op data at 0x43843866030
Jan 29 10:28:51 dhcp6c[37368]: Sending Solicit
Par contre je remarque que dès que je fais un Save + Apply, dans l'interface Wan / Lan ca me désactive le serveur DHCPv4, obligé de le lancer à la main.
-
Wireshark capture la sortie de OPNsense pour vérifier que la requête dhcp6c est envoyée correctement
-
J'ai fait la capture. L'option 15 16 et 11 sont bien envoyées
-
et le Wireshark pour la Livebox et OPNsense sont identiques?
Est-ce que la livebox reçoit un IPv6?
-
Je n'ai pas la possibilité de tester la box dans l'immédiat. je suis connecté a distance via une autre lien.
edit : La box est brancher sur un fake wan, je peux donc faire la capture, je suis en train de la faire
-
En effet les 2 capture ne sont pas identiques
J'ai des options que la box envoie mais pas le OPNSense
-
J'obtient enfin une IPV6, j'ai du changer toute la chaine de l'option 11 (70 lentgh)
Par contre depuis le routeur je ping google en IPv6
root@OPNsense:/home/kaktuss # ping6 ipv6.google.com
PING6(56=40+8+8 bytes) 2a01:cb08:67b:2c00:4262:31ff:fe01:dfde --> 2a00:1450:4007:813::200e
16 bytes from 2a00:1450:4007:813::200e, icmp_seq=0 hlim=57 time=2.781 ms
16 bytes from 2a00:1450:4007:813::200e, icmp_seq=1 hlim=57 time=2.823 ms
Mais mes PCs sur le LAN en prennent pas d'IPv6 :/
-
radvd est configuré correctement?
-
Le service est bien lancé
Mais je ne trouve pas le menu de radvd
-
Services:
Router Advertisements:
-
JE suis assez embêté
-
EDIT: désolé vous avez raison, il s’agit d’une interface suivie, donc pas de configuration Radvd
-
Ok,
Bon J'ai épuisé mes idée, j'ai un mal de crane lol
capture du LAN
12:52:56.811563 IP6 fe80::1:1 > fe80::618b:1a66:17d0:eed4: ICMP6, neighbor solicitation, who has fe80::618b:1a66:17d0:eed4, length 32
12:52:56.811925 IP6 fe80::618b:1a66:17d0:eed4 > fe80::1:1: ICMP6, neighbor advertisement, tgt is fe80::618b:1a66:17d0:eed4, length 32
12:52:57.395410 IP6 fe80::618b:1a66:17d0:eed4.546 > ff02::1:2.547: dhcp6 inf-req
12:52:58.846097 IP6 fe80::1:1 > ff02::1: ICMP6, router advertisement, length 56
12:53:04.328543 IP6 fe80::1:1 > ff02::1: ICMP6, router advertisement, length 56
12:53:05.395978 IP6 fe80::618b:1a66:17d0:eed4.546 > ff02::1:2.547: dhcp6 inf-req
12:53:10.962564 IP6 fe80::1:1 > ff02::1: ICMP6, router advertisement, length 56
12:53:17.384175 IP6 fe80::1:1 > ff02::1: ICMP6, router advertisement, length 56
12:53:21.396518 IP6 fe80::618b:1a66:17d0:eed4.546 > ff02::1:2.547: dhcp6 inf-req
12:53:21.966312 IP6 fe80::20c:29ff:fe49:3d92.546 > ff02::1:2.547: dhcp6 inf-req
12:53:26.162010 IP6 fe80::1:1 > ff02::1: ICMP6, router advertisement, length 56
12:53:33.984232 IP6 fe80::1:1 > ff02::1: ICMP6, router advertisement, length 56
12:53:39.937561 IP6 fe80::1:1 > ff02::1: ICMP6, router advertisement, length 56
12:53:43.114812 IP6 fe80::1:1 > ff02::1: ICMP6, router advertisement, length 56
-
Ca y est ca fonction depuis environ 3h,
J'ai juste reboot le démon radvd et hop, tout mes machines on pris une IPv6
Merci pour l'aide apporté
-
BOnjour a tous,
C'est encore moi :p
Je sais que Orange provisionne un /56 en IPv6, je pourrais donc utilisé un /64 par interface, J'ai tenter de modifier la config WAN en /56 en masque en IPv6 et de définir le numéro de préfixe par sous interface en tracking.
Mais cela ne semble pas fonctionner.
des idées?
ps : je le faisait avec mon ERL3 et ca marchait tres bien
edit :
Alors j'ai réussi à avoir plusieurs préfixe sur mes interfaces LAN. alors la config :
Dans le mode basic du dhcpv6 sur l'interface WAN, mettre /56 au lieu de /64 revenir sur l'onglet en mode avancer et faire save --> Apply
Une fois cela fait, sur l'interface LAN, pas de changement : Tracking --> Prefix 0
Sur l'autre interface Mettre Tracking WAN --> Prefix 1
Etc suivant le nombre d'interface.
Personnellement, j'ai fait règle firewall sur l'interface WAN en block pour tout mon /56 en entrant. J'autorise les services IPv6 par IPv6 et port par port.
J'ai du reboot plusieurs fois le routeur et le service radvd pour que ma 2eme interface LAN donne des IPv6 aux équipements.
-
n'ont pas joué avec cela, mais avez-vous essayé de le faire de cette façon
Manual Configuration
-
Si sur l'interface wan en mode basique le /64 est déclaré. Quand je déclare une préfixe supérieur a 0. Il me dit out of range , je dois mettre /56 en wan pour pouvoir déclaré d'autre préfix sur les autres interface.
edit :
Voila toutes mes interfaces on un préfixe ;D ;)
-
Maintenant, vous devriez configurer un tunnel IPv6 pour le WAN SFR :-)
-
en effet bonne idée,
des conseils ou des suggestions?
J'ai un serveur Online avec un /48, pensez vous c'est possible de faire redescendre plusieurs /64? ou un /56?
edit :
Je dois restart régulièrement radvd sinon certain devices prennent pas d'IPv6, faut que je check les log
-
ici
https://wiki.opnsense.org/manual/how-tos/ipv6_tunnelbroker.html
-
Hello la team :p comment allez vous?
J'ai un petit soucis avec le nat Refection sur mon OPNSense,
J'ai tenter l'option sur la règles de redirection ou dans les options globales, même résultat. J'ai également tenter de le faire a la main.
Voici mon rules.debug pour le flux concerné
sans reflection :
rdr on igb0_vlan832 inet proto tcp from {any} to {(igb0_vlan832)} port {80} -> $DasCube port 80 # Das-Cube_HTTP
Avec Relection
rdr on igb0_vlan832 inet proto tcp from {any} to {(igb0_vlan832)} port {80} -> $DasCube port 80 # Das-Cube_HTTP
nat on igb0_vlan832 inet proto tcp from (igb0_vlan832:network) to $DasCube port {80} -> igb0_vlan832 port 1024:65535 # Das-Cube_HTTP
rdr on igb2 inet proto tcp from {any} to {(igb0_vlan832)} port {80} -> $DasCube port 80 # Das-Cube_HTTP
nat on igb2 inet proto tcp from (igb2:network) to $DasCube port {80} -> igb2 port 1024:65535 # Das-Cube_HTTP
je me retrouve coté wan avec la requet suivante en TCPDUMP
root@OPNsense:/tmp # tcpdump -ni igb0_vlan832 net 192.168.xx.0/24
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on igb0_vlan832, link-type EN10MB (Ethernet), capture size 262144 bytes
12:07:47.014181 IP 90.3.xx.xx.12819 > 192.168.xx.46.80: Flags [S], seq 4168882576, win 62720, options [mss 8960,nop,wscale 8,nop,nop,sackOK], length 0
12:07:50.015305 IP 90.3.xx.xx.12819 > 192.168.xx.46.80: Flags [S], seq 4168882576, win 62720, options [mss 8960,nop,wscale 8,nop,nop,sackOK], length 0
12:07:56.017000 IP 90.3.xx.xx.12819 > 192.168.xx.46.80: Flags [S], seq 4168882576, win 62720, options [mss 8960,nop,wscale 8,nop,nop,sackOK], length 0
une idée?
Merci
-
sinon rien avoir,
Je suis le seul a ne plus avoir de flux multicast?
flux coté LAN
root@OPNsense # tcpdump -ni igb2_vlan3
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on igb2_vlan3, link-type EN10MB (Ethernet), capture size 262144 bytes
19:20:13.916073 IP 192.168.3.254 > 224.0.0.1: igmp query v2
19:20:15.542076 IP 192.168.3.254 > 239.255.255.250: igmp v2 report 239.255.255.250
Coté Vlan840
root@OPNsense # tcpdump -ni igb0_vlan840
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on igb0_vlan840, link-type EN10MB (Ethernet), capture size 262144 bytes
19:21:08.094575 IP 0.0.0.0 > 224.0.0.1: igmp query v2
19:21:47.709382 IP 0.0.0.0 > 224.0.0.1: igmp query v2
19:22:27.314470 IP 0.0.0.0 > 224.0.0.1: igmp query v2
19:23:06.919725 IP 0.0.0.0 > 224.0.0.1: igmp query v2
19:23:46.544488 IP 0.0.0.0 > 224.0.0.1: igmp query v2
19:24:26.150369 IP 0.0.0.0 > 224.0.0.1: igmp query v2
-
Personne?
-
https://forum.opnsense.org/
-
Ok,
Juste pour dire que j'ai avancé, j'ai bien le flux multicast qui arrive par le Vlan840, mais rien n'ai envoyé coté décodeur :(
-
Bonjour a tous j'aurais besoin de votre aide...
Apres quelque jours a m'arracher mes cheveux afin d'obtenir une connection avec opnsense a la place de la livebox.Je viens enfin de reussir a obtenir une IPV4 et ainsi une connection
Par contre je rencontre 2 probleme
Je n'ai pas d'ipv6, et ai un debit etrange, 400 mbit en descente et surtout que 4 mbit en montant ... Bien loin de ce qu'on s'attend.
Merci d'avance a tous ceux qui me donneront des indices et leur aide .
-
Hello,
Peux-tu nous faire quelques capture décran ou montrer tes paramètres (en prenant soin de masqué ton option 90)
as-tu activé l'IPS? sur quel type de machine tourne OPNSense?
-
Ok,
Juste pour dire que j'ai avancé, j'ai bien le flux multicast qui arrive par le Vlan840, mais rien n'ai envoyé coté décodeur :(
Je m'auto cite, je sais que c'est pas bien, mais en faite il a fallut que j'ajoute le flux UDP a pass sur l'interface LAN_Décodeur, alors qu'avant la mise a jour je n'en n'avait pas besoin. je pense que le proxy IGMP devait créer la règle non?
Voila Voila
-
Merci pour vos reponse, je vais vous faire les capture d'ecran .
J'ai deja resolu le probleme du debit en changeant d'ordi (le mien le proc etait surchargé ) et en repassant le PCP a 0 dans le vlan832
Donc desormais j'ai un bon debit 850 en descente et 300 en montant.
Il me manque plus l'ip IPV6 que je n'ai pas je vous joint les capture d'ecran
j'utilise un Qotom avec processeur Intel(R) Celeron(R) CPU J1900 @ 1.99GHz (4 cores)
voici le code pour la partie wan IPV6
ia-pd 0, raw-option 6 00:0b:00:11:00:17:00:18, raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33, raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d, raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:XXXXXXXXXXXXXXXXXXXX
-
En effet le pcp vlan doit être a 0, c'est dans les options DHCP qu'il faut le mettre a 6 au besoin.
Pour IPv6 ton option 11 est trop courte,
il manques des choses
Voici ton option 11
00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:XXXXXXXXXXXXXXXXXXXX
et voici la mienne
00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:3c:12:3e:46:52:49:40:6d:42:3e:24:49:5d:73:65:60:44:3f:03:13:43:be:27:79:5f:8d:58:61:0e:63:70:fc:73:db:62:b0:66
Il te manque également l'option 17
-
en tout cas je vous confirme que pour le débit c'est OK désormais, manque plus que le support de l'IPV6
Merci d'avance pour votre aide !!
-
Ok merci pour ta réponse, je vais donc ajouter ce que tu as mis derrière ton identifiant pour l'option 11
Par contre quel est l'option 17 STP je ne l'ai pas vu mentionné dans le tuto
-
Bon je n'ai pas mis d'option 17 car je n'ai pas trouvé mais peut etre que en fait j'ai bien le support de l'ipv6
je m'explique je pensais ne pas l'avoir car contrairement a l'ipv4 dnas le dashboard je n'ai pas d'ip affiché sous IPV6 ( je joint une capture d'ecran)
Par contre quand je vais sur un site pour voir si il vois mon IPV6 , il me dit que oui et cela a l'air correct ...
Pouvez vous me confirmé du coup que mes reglages pour l'ipv6 sont bon et que c'est normal qu'il ne l'affiche pas dans le dashboard?
-
en effet, elle n'apparait pas au niveau de la passerelle,
mais sous l'interface LAN, tu devrais en avoir une
-
Merci a toi kaktuss77 !
apres la mise a jour et quelque reboot , desormais tous est OK et il m'affiche bien l'IPV6
Un grand merci a tous pour ce tuto et votre aide !
-
Hello,
J'ai essayer tant bien que mal d'adapter le tuto, j'ai pas d'ONT ...
Mais impossible de choper la télé ... alors je m'interroge est-ce que ça peux fonctionner en sortant directement derrière la box? je sais que le double nat n'est pas idéale, mais je peu m'en accommoder.
Parce qu'Opnsense en mode bridge pas de proxy transparent ect
Je pense a acheter un ONT TP Link, mais est-il possible de ne pas à avoir un port dédié pour le décodeur TV ?
J'ai 2 décodeur, un dans mon salon et un dans une chambre a l’étage.
A la limite pour la chambre pas de soucis sur une prise dédié.
Par contre pour le salon c'est relié a une prise murale, qui sort sur un switch ou est branché pas mal d'équipement, je ne peu pas faire sortir 2 prise (décodeur et les autres équipement)
Merci de votre aide.
-
Bonjour,
Très rapidement après une mise à jour de opnsense ~ janvier, le serveur dhcpv6 c'est mis à partir en vrille à chaque restart de la connexion WAN.
Dans le Dashboard, ca se traduit par un carré rouge et jamais de redémarrage possible. Reboot obligatoire.
J'ai corrigé le bug et publié ca sur github.
https://github.com/Franck78/dhcp6c (https://github.com/Franck78/dhcp6c)
Vous pouvez compilez le truc sur un freebsd ou utilisez ce binaire pour remplacer votre /usr/sbin/dhcp6c
Si vous étes concerné par ce problème bien sur.
-
Hello,
J'ai essayer tant bien que mal d'adapter le tuto, j'ai pas d'ONT ...
Mais impossible de choper la télé ... alors je m'interroge est-ce que ça peux fonctionner en sortant directement derrière la box? je sais que le double nat n'est pas idéale, mais je peu m'en accommoder.
Parce qu'Opnsense en mode bridge pas de proxy transparent ect
Je pense a acheter un ONT TP Link, mais est-il possible de ne pas à avoir un port dédié pour le décodeur TV ?
J'ai 2 décodeur, un dans mon salon et un dans une chambre a l’étage.
A la limite pour la chambre pas de soucis sur une prise dédié.
Par contre pour le salon c'est relié a une prise murale, qui sort sur un switch ou est branché pas mal d'équipement, je ne peu pas faire sortir 2 prise (décodeur et les autres équipement)
Merci de votre aide.
Hello,
Faut prendre un switch manageable pour gérer les VLANS. ça va simplifier la config d'OPNsense en bidouillant les VLANS.
Sinon, L'ONT c'est le module SFP : il contient toute "l"intelligence", le boitier TPLink est purement un convertisseur pour avoir une sortie "utile" en rj45.
Le top serait d'avoir un switch avec port SFP, comme ça tout est géré en un seul équipement (avec toujours OPNsense, bien sûr).
Reste à savoir le budget et le modèle à acheter. Pour le moins cher (sans SFP) a la maison, j'ai le Netgear GS108E (qui ne me sert pas pour ça) mais il est assez abordable et a une interface web sympa. Par contre, à voir si cela convient pour les réglages avancés, je laisse les autres compléter mon post.
-
Salut !
Malgré les diverses mises à jour, j'ai toujours un petit problème que je ne comprends pas avec OPNsense. Après chaque redémarrage du routeur, le DHCPv6 ne démarre pas. En 18.7.x, j'avais une erreur de chargement des paramètres dans le journal du service DHCPv6, erreur que je ne retrouve plus depuis la 19.1.x.
Pour que le DHCPv6 démarre, il suffit que j'aille dans les paramètres WAN, et que sans toucher à aucun réglage, je sauvegarde puis recharge la configuration. Et à tous les coups, ça fonctionne ensuite jusqu'au prochain reboot...
Une idée ?
-
avez-vous paramétré "DIRECT SEND SOLICIT"
-
@Edtech avez-vous essayé : https://lafibre.info/remplacer-livebox/opnsense-remplacer-livebox-aucune-modification-necessaire/msg640340/#msg640340
-
Salut !
j'avais une erreur de chargement des paramètres dans le journal du service DHCPv6
Pour que le DHCPv6 démarre, il suffit que j'aille dans les paramètres WAN, et que sans toucher à aucun réglage, je sauvegarde puis recharge la configuration
Une idée ?
oh oui, une idée.... ca sent (ca pue même) le bug d'allocation mémoire qui écrabouille au pif les params lus depuis le fichier...et que j'ai corrigé.... et qui demande validation..... sur d'autres config que la mienne !
Alors chacun pourrait faire le test suivant:
vérifier qu'il peut redémarrer à loisir son dhcp6c dans le dashboard (10 fois de suite) et qu'il a bien son IPv6.
Si oui, rajouter quelques lignes rawoption (qui seront ignorées de toute façon par le serveur Orange).
Tout le bug consistant en un écrasement mémoire du fichier lu, il faut quelque peu forcer une disposition qui plante à tout les coups.
Quand c'est fait, tester avec mon dhcp6c. Il est lourd (600ko) car j'ai laissé les debug info dedans.
-
Bonjour tout le monde !
J'ai suivi ces tutos pour essayer de choper une IPv4 sur le réseau Orange en DHCP : https://forum.nextinpact.com/topic/174169-monter-son-propre-routeur-fibre-opnsense/ & https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html et malheureusement je n'arrive pas à choper d'IPv4.
J'ai une fibre Orange particulier avec un ONT, l'ONT est relié sur le port WAN de mon serveur. Mon wan est le port em1.
J'utilise la version 18.7 de OPNSense, et pour choper mes identifiants en hexa, j'ai directement relié le WAN de ma Livebox sur un port de mon serveur et avec Wireshark, dans une trame DHCP, j'ai chopé mon identifiant :
(https://image.noelshack.com/fichiers/2019/18/3/1556705901-identifiant-hexa.png)
Je sais que l'identifiant est sous la forme : 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:XX:XX... et je me suis arrêté au ba (le dernier truc [octet ?] ff ne fait pas parti de mon identifiant, car en regardant les trames DHCP lorsque openSense essaie de choper une IP sur le réseau orange, l'identifiant est le même et le dernier octet ff est présent même si je ne le met pas dans la config de mon DHCP dans openSense).
L'interface de mon WAN est bien relié au vlan 832 crée précédemment et basé sur le vlan parent em1 : (https://image.noelshack.com/fichiers/2019/18/3/1556706151-wan.png)
Voici la configuration de mon interface WAN :
(https://image.noelshack.com/fichiers/2019/18/3/1556706348-wan-1.png)
"IPv6 Configuration Type" est en none car je ne veux pas d'IPv6
(https://image.noelshack.com/fichiers/2019/18/3/1556706426-wan-2.png)
(https://image.noelshack.com/fichiers/2019/18/3/1556706833-wan-3.png)
Dans Send Options j'ai mis : dhcp-class-identifier "sagem",user-class "+FSVDSL_livebox.Internet.softathome.Livebox3",option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:XX:XX:XX:...:ba
Dans Request Options j'ai mis : subnet-mask,routers,domain-name-servers,domain-search,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,option-90
L'ordre n'est pas le même que dans le tuto de opnSense car en regardant les trames de la Livebox je me suis dis que l'ordre dans ces options avaient de l'importance.
Et enfin dans Option Modifiers j'ai mis : vlan-parent"em1",vlan-id 832,vlan-pcp 6
Et malgré ça je n'obtiens pas d'adresse IPv4. Par contre je me suis rendu compte que lorsque mes identifiants étaient erronés, je n'avais que des trames DHCP Discover :
(https://image.noelshack.com/fichiers/2019/18/3/1556707089-dhcp-1.png)
Alors que lorsque mes identifiants sont bons, j'ai à la fois des trames DHCP Discover & Offer mais après plus rien...:
(https://image.noelshack.com/fichiers/2019/18/3/1556707089-dhcp-2.png)
Et la trame DHCP Offer en destination retrouve l'IP que j'obtiens avec la Box, qui finit par 143
Qu'est ce que j'aurai pu louper ?
Merci d'avance pour votre aide,
Bonne journée et bon 1er mai :D
Damien
-
Salut,
Ca tient pas trop la route ta capture wireshark.
Dans le premier cas, il y aurait déjà un équipement qui a obtenu l'IP publique et est en com avec Moscou
et dans l'autre cas, il y aussi du HTTPS en cours alors que normalement sur ce 'bout de segment' entre ONT et em1, il n'y a rien....
Revoit donc ton branchement physique (et accessoirement utilise un livecd linux pour capturer).
Si Orange t'envoie un Offer, manifestement la config est bonne.
-
Je virtualises avec vmware, tu penses que se serai lui qui pose problème ?
Mes branchements physiques sont bons pourtant la fibre arrive sur l'ONT et l'ONT est directement branché sur la carte qui est en WAN sur opensense.
Après pour capturer en livecd linux tu aurai une distrib ou un truc à me conseiller et quels détails à regarder ?
Merci de ton aide en tout cas
-
Je pense que virtualiser est une couche d'emmerdes supplèmentaire quand tu testes une installation de cette sorte.
Sauf à maitriser sur le bout des doigts le truc (vmware ici).
Donc commence par du basique, opnSense installé vraiment sur une machine avec deux cartes réseaux avec l'ONT au cul de la carte WAN et ton PC au cul de la carte LAN.
Quand ton PC obtiendra une IPv4 locale sur LAN, que tu auras l'IPv4 publique sur WAN, que tu navigueras sur l'internet, il sera bien temps d'essayer de virtualiser l'opnSense.
Tu sauras qu'il est bien réglé pour remplacer une livebox.
N'importe quel livecd fait l'affaire. C'est surtout histoire de savoir que le PC client n'est pas en plus vérolé (je dis çà à cause de l'IP moscovite qui n'a pas l'air de te gêner outre mesure).
N'importe quel vieux pentium4 avec 512Mo suffit pour opnSense. Juste trouver une carte réseau supplèmentaire le temp de tester.
-
J'ai vu beaucoup de problèmes avec VM et OPNsense. Comme le dit Franckb78, commencez avec un environnement sans machine virtuelle, car obtenir une adresse IP4 est facile.
Beaucoup ont des problèmes avec IPv6 mais prenons d'abord IPv4
-
Arf :/
Je vais tester depuis depuis un système hôte sans vm alors, si pour le moment je le démarre en "live" sans l'installer cela fonctionnera quand même ?
-
Tu démarres un opnSense comme tu veux, livecd si il existe, du moment que tu puisses récupérer la config à chaque redémarrage. Mais ca va rapidement devenir 'boring'.
Pour info seulement, vmware est le mauvais choix pour virtualiser un opnSense. Bien trop lourd.
J'ai une carte 4 ports réseau achetée sur aliexpress, à base de J1900. Dans les 150€ avec RAM&SSD.
Dessus j'ai un Ubuntu Server 18.04
Welcome to Ubuntu 18.04.2 LTS (GNU/Linux 4.15.0-47-generic x86_64)
* Documentation: https://help.ubuntu.com
* Management: https://landscape.canonical.com
* Support: https://ubuntu.com/advantage
Et sur cette petite machine moins grande qu'une livebox4, j'ai des VM construites à partir de ça:
https://cloud-images.ubuntu.com/minimal/releases/bionic/release/
et bien sur une VM pour opnSense. Et rien que ça, c'est déjà une config pointilleuse sur l'attribution des 4 interfaces réseaux et réseaux virtuels. Et vlans.
-
D'accord, je vais déjà essayé de lancer opnSense en "pur" et après je verrai.
En faites moi de base j'ai un Windows Server 2012 où j'ai 2 cartes réseaux. Je peux toujours essayé Ubuntu Server, j'aime bien Linux.
Après ce site : https://cloud-images.ubuntu.com/minimal/releases/bionic/release/ te sert à quoi ? j'ai juste pas compris avec quoi tu virtualises tes vm sous Ubuntu
-
Après ce site : https://cloud-images.ubuntu.com/minimal/releases/bionic/release/ te sert à quoi ? j'ai juste pas compris avec quoi tu virtualises tes vm sous Ubuntu
Tu peux installer une VM à partir d'une distribution complète puis passer deux heures à supprimer tout ce qui sera inutile à ton service ou partir d'une distribution minimale et installer l'unique package qui te manque pour obtenir ton service.
Mais on change de sujet là, trouve un disque dur à mettre dans ta machine à deux cartes réseaux et installe opnSense dessus.
-
Bon, ça y est ! Je choppe enfin une IPv4 sur le réseau Orange.
(https://image.noelshack.com/fichiers/2019/18/3/1556726226-sattus.png)
Par contre je n'ai pas d'accès Internet sur le LAN, c'est une histoire de route/ gateway / NAT nan ? Qu'est ce que je devrai modifié pour que mes postes aient accès à Internet ?
Désolé de toutes ces questions, je suis un peu perdu avec Opnsense
-
Tu démarres un opnSense comme tu veux, livecd si il existe, du moment que tu puisses récupérer la config à chaque redémarrage. Mais ca va rapidement devenir 'boring'.
Pour info seulement, vmware est le mauvais choix pour virtualiser un opnSense. Bien trop lourd.
J'ai une carte 4 ports réseau achetée sur aliexpress, à base de J1900. Dans les 150€ avec RAM&SSD.
Dessus j'ai un Ubuntu Server 18.04
Et sur cette petite machine moins grande qu'une livebox4, j'ai des VM construites à partir de ça:
et bien sur une VM pour opnSense. Et rien que ça, c'est déjà une config pointilleuse sur l'attribution des 4 interfaces réseaux et réseaux virtuels. Et vlans.
Mais du coup Frank, vous virtualisez openSense sous Ubuntu Server ? Si oui, vous utilisez quel "hyperviseur" ? Ou comment vous gérez votre machine ?
-
Salut à tous :D
Super communauté ! J'essaie aussi de remplacer la livebox3 de mon abonnement fibre sosh avec opnsense (apu2d4).
Je commence avec IPV4 pour faire simple mais cela semble déjà trop compliqué pour moi :'(
Mon fichier /var/etc/dhclient_wan.conf (avec l'id de caché):
interface "re1_vlan832" {
# DHCP Protocol Timing Values
timeout 60;
retry 15;
select-timeout 0;
initial-interval 1;
# DHCP Protocol Options
send dhcp-class-identifier "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2F:XX:XX:XX:XX:XX:XX:XX;
request subnet-mask, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, routers, domain-name-servers, option-90, option-120, option-125;
require vlan-parent "re1", vlan-id 832, vlan-pcp 6;
script "/usr/local/opnsense/scripts/interfaces/dhclient-script";
}
Les logs :
May 1 18:15:15 dhclient[2715]: DHCPREQUEST on re1_vlan832 to 255.255.255.255 port 67
May 1 18:15:13 dhclient[2715]: unknown dhcp option value 0x7d
May 1 18:15:13 dhclient[2715]: unknown dhcp option value 0x5a
May 1 18:15:13 dhclient[2715]: DHCPOFFER from 172.16.0.1
May 1 18:15:13 dhclient[2715]: DHCPDISCOVER on re1_vlan832 to 255.255.255.255 port 67 interval 2
May 1 18:15:05 dhclient[2715]: DHCPREQUEST on re1_vlan832 to 255.255.255.255 port 67
May 1 18:15:00 dhclient[2715]: DHCPREQUEST on re1_vlan832 to 255.255.255.255 port 67
May 1 18:14:58 dhclient[2715]: DHCPREQUEST on re1_vlan832 to 255.255.255.255 port 67
May 1 18:14:57 dhclient[2715]: DHCPREQUEST on re1_vlan832 to 255.255.255.255 port 67
May 1 18:14:55 dhclient[2715]: unknown dhcp option value 0x7d
May 1 18:14:55 dhclient[2715]: unknown dhcp option value 0x5a
May 1 18:14:55 dhclient[2715]: DHCPOFFER from 172.16.0.1
May 1 18:14:55 dhclient[2715]: DHCPDISCOVER on re1_vlan832 to 255.255.255.255 port 67 interval 2
J'ai pourtant bien un DHCPOFFER !? Je vais essayer le script en première page (je n'ai pas le mot de passe de l'identifiant, donc j'avais essayé sans). Une idée pour récupérer le mot de passe de l'identifiant via sosh (sans le courrier d'abonnement initial) ?
Merci d'avance pour votre aide.
-
Salut à tous :D
Super communauté ! J'essaie aussi de remplacer la livebox3 de mon abonnement fibre sosh avec opnsense (apu2d4).
Je commence avec IPV4 pour faire simple mais cela semble déjà trop compliqué pour moi :'(
Mon fichier /var/etc/dhclient_wan.conf (avec l'id de caché):
interface "re1_vlan832" {
# DHCP Protocol Timing Values
timeout 60;
retry 15;
select-timeout 0;
initial-interval 1;
# DHCP Protocol Options
send dhcp-class-identifier "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2F:XX:XX:XX:XX:XX:XX:XX;
request subnet-mask, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, routers, domain-name-servers, option-90, option-120, option-125;
require vlan-parent "re1", vlan-id 832, vlan-pcp 6;
script "/usr/local/opnsense/scripts/interfaces/dhclient-script";
}
Les logs :
May 1 18:15:15 dhclient[2715]: DHCPREQUEST on re1_vlan832 to 255.255.255.255 port 67
May 1 18:15:13 dhclient[2715]: unknown dhcp option value 0x7d
May 1 18:15:13 dhclient[2715]: unknown dhcp option value 0x5a
May 1 18:15:13 dhclient[2715]: DHCPOFFER from 172.16.0.1
May 1 18:15:13 dhclient[2715]: DHCPDISCOVER on re1_vlan832 to 255.255.255.255 port 67 interval 2
May 1 18:15:05 dhclient[2715]: DHCPREQUEST on re1_vlan832 to 255.255.255.255 port 67
May 1 18:15:00 dhclient[2715]: DHCPREQUEST on re1_vlan832 to 255.255.255.255 port 67
May 1 18:14:58 dhclient[2715]: DHCPREQUEST on re1_vlan832 to 255.255.255.255 port 67
May 1 18:14:57 dhclient[2715]: DHCPREQUEST on re1_vlan832 to 255.255.255.255 port 67
May 1 18:14:55 dhclient[2715]: unknown dhcp option value 0x7d
May 1 18:14:55 dhclient[2715]: unknown dhcp option value 0x5a
May 1 18:14:55 dhclient[2715]: DHCPOFFER from 172.16.0.1
May 1 18:14:55 dhclient[2715]: DHCPDISCOVER on re1_vlan832 to 255.255.255.255 port 67 interval 2
J'ai pourtant bien un DHCPOFFER !? Je vais essayer le script en première page (je n'ai pas le mot de passe de l'identifiant, donc j'avais essayé sans). Une idée pour récupérer le mot de passe de l'identifiant via sosh (sans le courrier d'abonnement initial) ?
Merci d'avance pour votre aide.
Salut, pour choper ton identifiant avec ton mdp, je te conseille, si tu peux, de relier ton PC au port WAN de ta Livebox et de faire une analyse de trame avec Wireshark.
Tu regardes les détails d'une trame DHCP Discover, et tu regardes à la fin les derniers "octets", l'identifiant à la forme 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:XX:XX:XX:...:XX où XX sont les octets sont les octets proposés par Wireshark comme chez moi par exemple :
(https://image.noelshack.com/fichiers/2019/18/3/1556729652-a.png)
Je délimité les octets généraux des octets de mon identifiant ;)
PS : le dernier octet ff n'est pas à prendre
-
Mais du coup Frank, vous virtualisez openSense sous Ubuntu Server ? Si oui, vous utilisez quel "hyperviseur" ? Ou comment vous gérez votre machine ?
Sur le Ubuntu server standart (l'hote) ! Avec libvirt, virsh virt-manager et compagnie ;)
Eh oui ensuite il faut régler le firewall, faire du NAT, distribuer des IP locales et compagnie.
-
Sur le Ubuntu server standart (l'hote) ! Avec libvirt, virsh virt-manager et compagnie ;)
Eh oui ensuite il faut régler le firewall, faire du NAT, distribuer des IP locales et compagnie.
D'accord merci :)
Savez-vous s'il existe des tutos expliquant comment le faire sur opnSense ? Sinon je fouillerai dans opnSense ;)
-
firewall/nat/outbound sur WAN pour TCP/UDP/ICMP ou ALL ou moins si un peu parano ;)
-
Bonjour tout le monde,
Avez-vous une doc a jour pour un OPNsense v19.1.4 (pour de l'ipv4 & v6)
Merci par avance !
-
Merci pour l'info ! J'ai bien récupéré la trame complète de la livebox !
Même comportement par contre. Mais l'authent semble bien fonctionner. J'ai un DHCPOFFER d'un device Nokia après le DHCPDISCOVER. Mais OPNsense n'envoie pas le DHCPREQUEST en retour. Je ne comprends ce qui foire dans ma conf.
Salut, pour choper ton identifiant avec ton mdp, je te conseille, si tu peux, de relier ton PC au port WAN de ta Livebox et de faire une analyse de trame avec Wireshark.
Tu regardes les détails d'une trame DHCP Discover, et tu regardes à la fin les derniers "octets", l'identifiant à la forme 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:XX:XX:XX:...:XX où XX sont les octets sont les octets proposés par Wireshark comme chez moi par exemple :
(https://image.noelshack.com/fichiers/2019/18/3/1556729652-a.png)
Je délimité les octets généraux des octets de mon identifiant ;)
PS : le dernier octet ff n'est pas à prendre
-
Pas très logique tes explications. Dans le premier message tu avais une Offer sans ton identifiant "fti/xxxxxx"
Maintenant tu as toujours une Offer ok, tu as pompé la trame Discover, soit, mais tu ne dis pas expressèment que tu as récupéré ton "fti/xxxxxxx"
Mais surtout, il n'y a pas de raison que le comportement initial change avec ou sans le "fti/xxxxx" si tu as refais les mêmes branchements. Orange ne répond pas sans "fti/xxxxx" correct donc ce n'est pas Orange qui te répond (en plus avec du 172.).
-
Pas très logique tes explications. Dans le premier message tu avais une Offer sans ton identifiant "fti/xxxxxx"
Maintenant tu as toujours une Offer ok, tu as pompé la trame Discover, soit, mais tu ne dis pas expressèment que tu as récupéré ton "fti/xxxxxxx"
Mais surtout, il n'y a pas de raison que le comportement initial change avec ou sans le "fti/xxxxx" si tu as refais les mêmes branchements. Orange ne répond pas sans "fti/xxxxx" correct donc ce n'est pas Orange qui te répond (en plus avec du 172.).
Désolé si je n’étais pas clair.
Dans les 2 cas l'identifiant était compris :
- dans le premier cas j'utilisais l'Ancienne échange hexa DHCP avec l'identifiant (car je ne savais générer le nouvel échange sans le mdp en utilisant le script)
- dans le second cas j'utilise le nouvel échange hexa DHCP en ayant récupéré celui de la livebox
Mais vu que tu me confirmes que le device qui me répond n'est pas le bon, je vais revérifier ma conf dhcp et ma chaine d'authent. Bizarre quand même car je suis connecté directement à l'ont et j'ai capturé à partir de OPNsense sur le WAN.
Merci !
-
ah mais si l'hypothèse initiale (pas de "fti/xxx") est fausse, la conclusion change. Si tu as fournis le bon "fti/xxxx" dans les deux essais je ne peux plus dire que ce n'est pas Orange qui répond !
Et comme je suis loin de connaître toutes les variations et subtilités des équipement Orange, le 172.x.x.x qui répond est bien Orange si en plus tu confirmes qu'il n'y a rien d'autre de branché.
-
ah mais si l'hypothèse initiale (pas de "fti/xxx") est fausse, la conclusion change. Si tu as fournis le bon "fti/xxxx" dans les deux essais je ne peux plus dire que ce n'est pas Orange qui répond !
Et comme je suis loin de connaître toutes les variations et subtilités des équipement Orange, le 172.x.x.x qui répond est bien Orange si en plus tu confirmes qu'il n'y a rien d'autre de branché.
Je confirme. Pour récupérer la trame de la livebox j'avais utilisé un switch manageable. Mais pour les 2 essais je ne l'utilise pas et je connecte mon device opnsense directement sur l'ONT. Bref, je vais reinstaller mon device, il y a forcement une couille dans ma conf et je dois en plus l'avoir sous les yeux :)
-
Tu captures le dhcp qui sort de la livebox avec un PC/wireshakrk tout seul.
Tu captures le dhcp qui sort de ton opnSense avec le même PC/wireshakrk.
Tu compares.
Pas besoin de serveur Orange ou d'ONT ou de switch. Direct cul à cul les cartes réseaux.
-
Bonjour a tous, je suis en dernière version de Opnsense 19.6 , la connection orange est fonctionnel ,j'ai cependant un problème que je n'arrive pas a résoudre.
Impossible en local d'atteindre un serveur avec mon ip public, bien que cela fonctionne bien depuis l'extérieur .
J'ai tout tenté , dont le nat reflection , mais cela ne fonctionne pas .
La seul chose qui me permet de tomber dessus est le nat pro forward, mais si je l'active tous les site que je tente d'atteindre sur le meme port me redirige sur mon serveur ...
Si quelqu'un a une idée je suis preneur....
-
Ajoute une entrée dans le dns local (probablement Unbound) qui renvoie l'IP locale pour le nom public du serveur. Ou le nom public en alias si l'entrée existe déja
-
[...] il y a forcement une couille dans ma conf et je dois en plus l'avoir sous les yeux :)
C’était effectivement sous mes yeux. J’hallucine, me suis planté de champ : j'avais mis les options dans le require.
Merci quand même pour l'aide ! J'ai gagné une chaine d'authent propre :)
require vlan-parent "re1", vlan-id 832, vlan-pcp 6;
-
Hello !
Du coup, j'ai réussi à choper une IPv4 sur le réseau Orange sur mon port WAN et mon opnSense a pour IP : 192.168.1.30
Et mon PC qui est relié au port LAN a pour IP de passerelle : 192.168.1.30
(https://image.noelshack.com/fichiers/2019/18/3/1556726226-sattus.png)
Cependant, mon PC qui est branché au cul du LAN du serveur n'arrive pas à aller sur Internet :/ Voilà mes réglages NAT :
(https://image.noelshack.com/fichiers/2019/18/4/1556820827-nat.png)
Que dois-je ajouter et/ou modifier ? En théorie je sais le faire, je renvoies tout ce qui va du LAN vers le WAN mais je ne sais pas comment m'y prendre :/
Si vous pouvez me détailler en détails les options/réglages à faire, je vous en serai mainte fois reconnaissant
Merci d'avance :)
-
Vous avez utilisé le script donné page 1 pour ajouter les infos dans opnsense ?
-
Je me permets de Réup, je ne sais pas quoi éditer dans NAT Outbound, Forward, s'il faut que je modifie des trucs au niveau des gateways, routes & autres.
En cherchant sur le net je trouve pas comment arriver à sortir sur Internet :/
Quelqu'un pourrait-il m'aider ?
Merci :)
Hello !
Du coup, j'ai réussi à choper une IPv4 sur le réseau Orange sur mon port WAN et mon opnSense a pour IP : 192.168.1.30
Et mon PC qui est relié au port LAN a pour IP de passerelle : 192.168.1.30
(https://image.noelshack.com/fichiers/2019/18/3/1556726226-sattus.png)
Cependant, mon PC qui est branché au cul du LAN du serveur n'arrive pas à aller sur Internet :/ Voilà mes réglages NAT :
(https://image.noelshack.com/fichiers/2019/18/4/1556820827-nat.png)
Que dois-je ajouter et/ou modifier ? En théorie je sais le faire, je renvoies tout ce qui va du LAN vers le WAN mais je ne sais pas comment m'y prendre :/
Si vous pouvez me détailler en détails les options/réglages à faire, je vous en serai mainte fois reconnaissant
Merci d'avance :)
-
Bonjour,
@tuxbot le script n'a pas fonctionné pour moi, j'ai sniffé ma Livebox pour récupérer la chaîne d'authentification.
@Dalongo 143 n'est pas une ip Orange, as-tu suivi la doc sur le premier post ?
-
Salut,
Si si j'ai bien une IP orange, elle finit par 143, le reste est effacé en blanc mdr.
Quand je fais un traceroute sur l'interface WAN vers une IP de chez Google ça ping bien, mon problème c'est les réglages aux niveaux du firewall (NAT ?), gateways ou routes je crois
Une idée de quelle modif à faire pour que depuis mon LAN j'accède à Internet ?
Merci :)
Bonjour,
@tuxbot le script n'a pas fonctionné pour moi, j'ai sniffé ma Livebox pour récupérer la chaîne d'authentification.
@Dalongo 143 n'est pas une ip Orange, as-tu suivi la doc sur le premier post ?
-
@Dalongo Pourquoi tu ne passes pas le paramétrage Nat : Outbound en Automatique ?
-
Parce que ça ne fonctionne pas, j'ai mis mon NAT : Outbound en auto :
(https://image.noelshack.com/fichiers/2019/19/3/1557346321-nat-outbound.png)
Voilà la config de mon interface LAN :
(https://image.noelshack.com/fichiers/2019/19/3/1557346359-lan-interface.png)
La config de mes passerelles :
(https://image.noelshack.com/fichiers/2019/19/3/1557346524-passrelle.png)
En activant ou désactivant GW_LAN, je n'ai pas Internet côté LAN
Pourtant si je fais un trace route avec opnSense depuis l'interface WAN sur une IP de chez Google ça fonctionne : c'est donc une mauvaise config du routeur que je fais
(https://image.noelshack.com/fichiers/2019/19/3/1557346650-ping-wan.png)
Et sur mes postes je mets bien une IP dans mon réseau, ici 192.168.1.0/24 et comme passerelle l'IP du l'opnSense
:/
@Dalongo Pourquoi tu ne passes pas le paramétrage Nat : Outbound en Automatique ?
-
Les règles du Outbound ouvre par défaut l'accès du LAN Networks au WAN. Ci-joint ma config générée par défaut, je n'ai rien touché (mes VPN sont floutés).
-
D'accord merci je vais teste à midi, et au niveau de l'interface LAN, dans "IPv4 Upstream Gateway", tu as mis quoi ?
Les règles du Outbound ouvre par défaut l'accès du LAN Networks au WAN. Ci-joint ma config générée par défaut, je n'ai rien touché (mes VPN sont floutés).
-
À moins que tu aies plusieurs Wan, voici ce qui est conseillé pour cette option : "For single WAN interfaces a gateway must be created but set to auto-detect." Donc pour ma part Auto-detect.
-
Extra ! Je n'ai qu'un WAN donc je vais le mettre en auto-detect. Je teste ça à midi merci :)
À moins que tu aies plusieurs Wan, voici ce qui est conseillé pour cette option : "For single WAN interfaces a gateway must be created but set to auto-detect." Donc pour ma part Auto-detect.
-
ça ne fonctionne toujours pas :/
Donc mon NAT Outbound est bon, il est comme le tien :
(https://image.noelshack.com/fichiers/2019/19/4/1557398551-nat-outbound.png)
L'interface LAN est correcte je pense :
(https://image.noelshack.com/fichiers/2019/19/4/1557398544-lan.png)
Voilà la config de mes passerelles :
(https://image.noelshack.com/fichiers/2019/19/4/1557398607-passerelle.png)
J'ai beau activé les 2 trucs LAN ou 1 des 2 soit GW_LAN soit LAN_GWv4 mais rien n'y fait :/
Et ça c'est la config IP de mon PC:
(https://image.noelshack.com/fichiers/2019/19/4/1557398649-config-ip.png)
J'ai redémarrer 2-3 fois la carte pour "vider" le cache.
Je n'arrive pas à ping un serveur de Google, j'ai soit l'erreur "Réponse de 192.168.1.1 : Impossible de joindre le réseau de destination." ou "Délai d’attente de la demande dépassé.", ou à aller sur Internet
À moins que tu aies plusieurs Wan, voici ce qui est conseillé pour cette option : "For single WAN interfaces a gateway must be created but set to auto-detect." Donc pour ma part Auto-detect.
-
Je pense que tu peux désactiver la GW_LAN dans les Gateways, Vérifie également que ton LAN est assigné à la bonne interface. Curieux que ton poste affiche une GW 192.168.1.1 qui ne répond pas, alors qu'on attend une réponse de 192.168.1.30 Est ce que tu la ping correctement cette ip ?
Y-a-t-il une raison pour laquelle ton paramétrage de Gateway affiche le Lan ? es-tu parti d'une fresh install en suivant la doc ?
-
Le LAN est sur la bonne interface ça c'est bon. Si je ping l'IP 192.168.1.30 ça ne répond pas mais je pense que c'est normal car j'accède quand même bien à l'interface opnSense depuis Chrome ou Putty.
Dans Gateways, je ne devrai pas avoir d'interface LAN ?
Oui j'étais parti d'une installation fresh, mais je n'ai pas suivi la config de base
Je pense que tu peux désactiver la GW_LAN dans les Gateways, Vérifie également que ton LAN est assigné à la bonne interface. Curieux que ton poste affiche une GW 192.168.1.1 qui ne répond pas, alors qu'on attend une réponse de 192.168.1.30 Est ce que tu la ping correctement cette ip ?
Y-a-t-il une raison pour laquelle ton paramétrage de Gateway affiche le Lan ? es-tu parti d'une fresh install en suivant la doc ?
-
Si je ping l'IP 192.168.1.30 ça ne répond pas
ça ce n'est pas bon sauf si tu as bloqué le ping avec ton firewall volontairement.
-
Pourtant non, je vais peut-être refaire une installation propre de opnSense. Tu me conseilles de suivre le setup initial ou pas ?
ça ce n'est pas bon sauf si tu as bloqué le ping avec ton firewall volontairement.
-
Bon, j'ai réinstallé une version propre de opnSense, la version 19.1.4, et tout fonctionne !
Merci à tous :)
-
Hello, ça n'a pas trop à voir avec la fibre, à proprement parler, mais en 19.1.4 j'ai cette erreur qui se répète sur OPNsense :
[06-May-2019 23:50:33 Europe/Paris] PHP Warning: Illegal string offset 'if' in /usr/local/etc/inc/interfaces.inc on line 3452
et vous?
Sinon tout fonctionne bien :D
-
Commence peut-être par mettre à jour, la dernière version est là 19.1.7.
-
Bien vu! Je ne suis pas très assidu sur les màj, j'ai effectué cette dernière il y a peu de temps en plus. Je vous ferai un retour ;)
-
Bonjour à tous,
J'ai suivi les instructions de ce topic afin d'effectuer la configuration suivante :
Internet Fibre > ONT SFP > TP-Link MC-200L > OPNSense WAN (VM sur Unraid via NIC Intel 2 ports)
> OPNSense LAN > Switch > Unraid (port réseau de la carte mère) > Let's Encrypt (DNS) > Dockers (Plex, Ubooquity et Nextcloud)
La Livebox n'est plus connectée. J'obtiens bien une adresse IPv4 (pas encore d'IPv6 pour le moment, mais j-y travaille). Aucune perte de débit de constatée. Je n'utilise ni l'accès téléphonique, ni la TV.
Mon soucis, c'est que les dockers que j'utilise sur Unraid ne sont désormais plus accessible à distance sur l'adresse "plex.#####.net" par exemple. J'ai bien ouvert les ports attribués à ces applications, ainsi que les ports nécessaire au bon fonctionnement du docker "Let's Encrypt (qui indique bien que celui-ci est fonctionnel).
Les dockers sont toujours accessibles sur le LAN.
Avant la bascule Livebox4 > OPNsense, cet accès était fonctionnel. J'ai donc refait la bascule OPNsense > Livebox, et les dockers sont de nouveau accessibles à distance.
J'ai essayé de désactiver le firewall d'OPNsense (Outbound NAT > off) sans succès.
Le problème peut sembler hors-sujet par rapport au topic, mais il est possible que vous ayez une piste d'investigation sur les suspicions que je commence à avoir sur certains paramètres :
- > Si les régles NAT ont été désactivés dans la Livebox avant la bascule vert OPNsense, puis-je exclure un problème de double NAT ?
- > Est-il nécessaire d'activer l'option DMZ sur la Livebox pour que le paramétrage de règles NAT sur la Livebox permette, par la suite, d’accéder à distance aux dockers avec un router OPNsense ?
- > J'utilise le docker "Krusader", qui nécessite, pour accéder à son interface web en local, de passer par le port 6080. Sur la Livebox, il était nécessaire d'ouvrir ce port pour accéder à l'interface. Sur OPNsense, que ce soit sans ouverture du port, ou avec l'Outbound NAT désactivé, l'interface est accessible... Ce docker n'est pas derrière un reverse proxy Let's Encrypt. Et j'ai supprimé au préalable toutes les règles NAT paramétrés sur la Livebox...
Bref, si vous avez besoin d'informations complèmentaires, de logs ou de captures d'écran, je serai ravi de vous les fournir !
EDIT : Ajout de captures d'écran et de la topologie réseau :
(https://nsa40.casimages.com/img/2019/06/23/190623014320880169.png) (https://www.casimages.com/i/190623014320880169.png.html)
IP/Ports des dockers : https://nsa40.casimages.com/img/2019/06/23/190623101603693225.png
NAT : https://nsa40.casimages.com/img/2019/06/23/190623101603840495.png
Paramétrage avancé - NAT : https://nsa40.casimages.com/img/2019/06/23/190623101604154433.png
Tests : https://nsa40.casimages.com/img/2019/06/23/190623101604408067.png
Paramétrage WAN 1 : https://nsa40.casimages.com/img/2019/06/23/190623101604667841.png
Paramétrage WAN 2 : https://nsa40.casimages.com/img/2019/06/23/190623103412846529.png
Serveur Let's Encrypt : https://nsa40.casimages.com/img/2019/06/23/190623111335423784.png
Paramètres réseaux UnRAID : https://nsa40.casimages.com/img/2019/06/23/190623111831749923.png
-
La Livebox n'est plus présente sur le réseau à ce que j'ai compris. Donc ses paramètres n'ont plus aucun impact: Les réglages de NAT sont locaux à la box, ils n'ont aucun impact sur quelque équipement que ce soit sur le réseau d'Orange.
Le problème mentionné est donc uniquement lié à une mauvaise configuration d'OPNSense (et là je passe la main, je ne le connais pas).
-
Salut @koala784
J'ai du mal à interpréter ton schéma, mais si ça peut t'aider je pense que tu devrais vérifier si tes sous domaines fonctionnent bien au niveau de ton reverse proxy.
Aussi, je pense que tu peux déjà simplifier un peu en te séparant de duckdns.org pour utiliser le service dyndns d'OVH. En plus, c'est intégré dans OPNSense :)
-
Salut Koala784,
Je trouve ton install très sympa, j'élabore moi même quelque chose de similaire.
Je souhaite en plus potentiellement filtrer les requêtes DNS via une blacklist enregistrée sur un Pi-Hole, et installer un serveur openVPN pour les accès via WAN.
Je n'utilise pas encore de routeur autre que celui de la livebox, donc dans ton installation, j'ai cru comprendre que tu utilisais la fonction de Reverse-proxy d' OPNsense ?
As tu déjà pensé à utiliser un Reverse proxy directement sur Unraid ?
Car à ce que je sache Let's Encrypt n'en est pas un en soit ?
Pour ma part, concernant ta partie "unraid" j'ai déjà effectué une installation similaire mais sur un serveur distant.
Je pense notamment à un container Traefik, qui est une perle de transparence dans ce cas :
• Pré-configuration du container Traefik pour qu'il écoute les ports 80 et 443 (http et https avec redirection automatique http vers https par exemple)
• Pré-configuration du challenge DNS pour l'obtention d'un unique certificat via Let's Encrypt valable pour le domaine et tous les sous domaines.
Seulement deux DNS Record Cloudflare (Passer la main à Cloudflare pour la gestion DNS via le panneau du registrar OVH pour n'avoir qu'un seul interlocuteur DNS) :
mondomaine.com > IP 45.45.45.45
*.mondomaine.com > IP 45.45.45.45 (le symbole * permettant de rendre transparent l'ajout/suppression/modification de n'importe quelle adresse *.mondomaine.com via Traefik)
La partie concernant Let's Encrypt dans la configuration de Traefik :
# Let's encrypt configuration
[acme]
email = "mail@domaine.com"
storage="/etc/traefik/acme/acme.json"
entryPoint = "https"
acmeLogging=true
onDemand = false
[acme.dnsChallenge]
provider = "cloudflare"
delayBeforeCheck = 300
[[acme.domains]]
main = "${DOMAINNAME}"
[[acme.domains]]
main = "*.${DOMAINNAME}"
• Configuration du routage des containers presque "à la volée" (comprendre quasi-automatique) via des labels très explicites sans exposer aucun port (sauf si l'on souhaite également un accès via LAN style http://adresseserveurunraid:PORT)
Voici un exemple de labels ajoutés à un container plex dans un docker-compose.yml
labels:
- "traefik.enable=true"
- "traefik.backend=plex"
- "traefik.frontend.rule=Host:plex.${DOMAINNAME}"
- "traefik.port=32400"
- "traefik.protocol=http"
- "traefik.docker.network=traefik_proxy"
- "traefik.frontend.headers.SSLRedirect=true"
- "traefik.frontend.headers.STSSeconds=315360000"
- "traefik.frontend.headers.browserXSSFilter=true"
- "traefik.frontend.headers.contentTypeNosniff=true"
- "traefik.frontend.headers.forceSTSHeader=true"
- "traefik.frontend.headers.SSLHost=${DOMAINNAME}"
- "traefik.frontend.headers.STSIncludeSubdomains=true"
- "traefik.frontend.headers.STSPreload=true"
- "traefik.frontend.headers.frameDeny=true"
# Traduction globale : http://plex.mondomaine.com atteindra le container Traefik et sera redigirée vers le container "plex" au port interne du container "32400" ensuite ce sont des paramètres de sécurité qui permettent d'obtenir facilement un A+ sur https://www.ssllabs.com/ssltest/ (https://www.ssllabs.com/ssltest/)
Et voilà à quoi se résume la configuration du reverse proxy Traefik pour chaque container. Donc un gage de souplesse énorme pour effectuer des tests de containers jusqu'à satisfaction.
Il reste cependant potentiellement un problème auquel je ne saurais pas répondre car je ne l'utilise pas encore, la configuration de OPNsense pour qu'il route toutes les requêtes *.mondomaine.com vers l'hôte unraid.
Mais l'avantage ici est que cela permettrait ensuite à unraid de gérer tout seul son petit routage interne, Traefik gérant automatiquement à la fois l'échange avec le DNS et le routage interne, sachant que les seuls ports exposés pour tout ce monde sont les ports par défaut HTTP(80) et HTTPS(443).
En résumé ça donnerait : monprécieux.mondomaine.com > 91.110.XXX.XXX > OPNsense > 192.168.1.101:80 > monprécieux(nom du container)
Voilà en espérant que cela soit utile, car malheureusement je n'utilise pas encore ni unraid ni opnsense !
-
Bonjour à tous !
La Livebox n'est plus présente sur le réseau à ce que j'ai compris. Donc ses paramètres n'ont plus aucun impact: Les réglages de NAT sont locaux à la box, ils n'ont aucun impact sur quelque équipement que ce soit sur le réseau d'Orange.
Le problème mentionné est donc uniquement lié à une mauvaise configuration d'OPNSense (et là je passe la main, je ne le connais pas).
J'avais un doute sur le fait que ce type de paramètres soient enregistrés directement sur la box ou sur le réseau :) A priori oui plutôt un paramétrage dans OPNsense.
Salut @koala784
J'ai du mal à interpréter ton schéma, mais si ça peut t'aider je pense que tu devrais vérifier si tes sous domaines fonctionnent bien au niveau de ton reverse proxy.
Aussi, je pense que tu peux déjà simplifier un peu en te séparant de duckdns.org pour utiliser le service dyndns d'OVH. En plus, c'est intégré dans OPNSense :)
Je n'avais effectivement pas pensé à ça, j'ai pourtant déjà utilisé ce service^^ Donc je viens de faire les changements. Si je passe par la Livebox, ça fonctionne toujours.
Pour OPNsense, j'ai ajouté DynHost d'OVH dans les paramètres DynamicDNS d'OPNsense. Mes domaines récupèrent bien mon IP publique (90.110.###.###), mais l'accès ne fonctionne toujours pas.
Captures des changements effectués :
Paramètres DynHOST OVH : https://nsa40.casimages.com/img/2019/06/29/190629021414368454.png
Paramètres DynamicDNS OPNsense : https://nsa40.casimages.com/img/2019/06/29/190629021414526690.png
Salut Koala784,
Je trouve ton install très sympa, j'élabore moi même quelque chose de similaire.
Je souhaite en plus potentiellement filtrer les requêtes DNS via une blacklist enregistrée sur un Pi-Hole, et installer un serveur openVPN pour les accès via WAN.
Je n'utilise pas encore de routeur autre que celui de la livebox, donc dans ton installation, j'ai cru comprendre que tu utilisais la fonction de Reverse-proxy d' OPNsense ?
As tu déjà pensé à utiliser un Reverse proxy directement sur Unraid ?
Car à ce que je sache Let's Encrypt n'en est pas un en soit ?
Pour ma part, concernant ta partie "unraid" j'ai déjà effectué une installation similaire mais sur un serveur distant.
Je pense notamment à un container Traefik, qui est une perle de transparence dans ce cas :
• Pré-configuration du container Traefik pour qu'il écoute les ports 80 et 443 (http et https avec redirection automatique http vers https par exemple)
• Pré-configuration du challenge DNS pour l'obtention d'un unique certificat via Let's Encrypt valable pour le domaine et tous les sous domaines.
Seulement deux DNS Record Cloudflare (Passer la main à Cloudflare pour la gestion DNS via le panneau du registrar OVH pour n'avoir qu'un seul interlocuteur DNS) :
mondomaine.com > IP 45.45.45.45
*.mondomaine.com > IP 45.45.45.45 (le symbole * permettant de rendre transparent l'ajout/suppression/modification de n'importe quelle adresse *.mondomaine.com via Traefik)
La partie concernant Let's Encrypt dans la configuration de Traefik :
# Let's encrypt configuration
[acme]
email = "mail@domaine.com"
storage="/etc/traefik/acme/acme.json"
entryPoint = "https"
acmeLogging=true
onDemand = false
[acme.dnsChallenge]
provider = "cloudflare"
delayBeforeCheck = 300
[[acme.domains]]
main = "${DOMAINNAME}"
[[acme.domains]]
main = "*.${DOMAINNAME}"
• Configuration du routage des containers presque "à la volée" (comprendre quasi-automatique) via des labels très explicites sans exposer aucun port (sauf si l'on souhaite également un accès via LAN style http://adresseserveurunraid:PORT)
Voici un exemple de labels ajoutés à un container plex dans un docker-compose.yml
labels:
- "traefik.enable=true"
- "traefik.backend=plex"
- "traefik.frontend.rule=Host:plex.${DOMAINNAME}"
- "traefik.port=32400"
- "traefik.protocol=http"
- "traefik.docker.network=traefik_proxy"
- "traefik.frontend.headers.SSLRedirect=true"
- "traefik.frontend.headers.STSSeconds=315360000"
- "traefik.frontend.headers.browserXSSFilter=true"
- "traefik.frontend.headers.contentTypeNosniff=true"
- "traefik.frontend.headers.forceSTSHeader=true"
- "traefik.frontend.headers.SSLHost=${DOMAINNAME}"
- "traefik.frontend.headers.STSIncludeSubdomains=true"
- "traefik.frontend.headers.STSPreload=true"
- "traefik.frontend.headers.frameDeny=true"
# Traduction globale : http://plex.mondomaine.com atteindra le container Traefik et sera redigirée vers le container "plex" au port interne du container "32400" ensuite ce sont des paramètres de sécurité qui permettent d'obtenir facilement un A+ sur https://www.ssllabs.com/ssltest/ (https://www.ssllabs.com/ssltest/)
Et voilà à quoi se résume la configuration du reverse proxy Traefik pour chaque container. Donc un gage de souplesse énorme pour effectuer des tests de containers jusqu'à satisfaction.
Il reste cependant potentiellement un problème auquel je ne saurais pas répondre car je ne l'utilise pas encore, la configuration de OPNsense pour qu'il route toutes les requêtes *.mondomaine.com vers l'hôte unraid.
Mais l'avantage ici est que cela permettrait ensuite à unraid de gérer tout seul son petit routage interne, Traefik gérant automatiquement à la fois l'échange avec le DNS et le routage interne, sachant que les seuls ports exposés pour tout ce monde sont les ports par défaut HTTP(80) et HTTPS(443).
En résumé ça donnerait : monprécieux.mondomaine.com > 91.110.XXX.XXX > OPNsense > 192.168.1.101:80 > monprécieux(nom du container)
Voilà en espérant que cela soit utile, car malheureusement je n'utilise pas encore ni unraid ni opnsense !
Pour le reverse proxy, j'ai suivi le tutoriel vidéo de Space Invader One : https://youtu.be/I0lhZc25Sro (https://youtu.be/I0lhZc25Sro)
J'ai donc installé le docker Let'sEncrypt sur Unraid, que j'ai paramétré avec les ports 8880 et 8443 (car les ports 80 et 443 sont nécessaires pour UnRAID.
J'ai ajouter une carte réseau virtuelle sur UnRAID nommée "proxyreverse".
J'ai ensuite paramétré les fichiers ".conf" des différents docker afin d'utiliser les IP locales et les ports nécessaires.
Le fonctionnement de Traefik est très similaire au couple Let'sEncrypt+Nginx du docker Let'sEncrypt.
Mais de ce côté ça fonctionne avec la Livebox, donc le reverse proxy me semble correct.
EDIT : L'accès fonctionne depuis mon téléphone (4G) sur les domaines plex.#####.net, scans.#####.net et cloud.#####.net !
Le changement de DuckDNS vers DynHost OVH et le paramétrage de celui-ci dans OPNsense a résolu mon problème.
Merci pour vos réponses !
-
En fait le reverse proxy de ton container c'est nginx qui doit être intégré à ton image let's encrypt c'est ça que je comprenais pas.
Content que cela fonctionne pour toi !
Ah oui les tuto de space invader one topissime le dev d'unraid devrait l'embaucher ce gars.
En fait si tu dispose d'une IP fixe et d'un domaine (comme cela semble être le cas) tu n'as pas besoin de l'étape duckdns.
C'est ce qui explique que la méthode que je décris fait directement pointer moncontainer.mondomaine.com vers maWAN-IP.
-
Bonsoir @ tous, je tente pour le 1ere fois une migration d'un Edgemax ER6 vers OPNSense, et malheureusement cela se solde par un echec.
Je ne récupère ni une adresse IP4 ni IP6.
J'ai bien suivi la procédure de configuration Orange France FFTP IPv4 IPV6.
Mon WAN est sur igb0 et mon LAN sur igb1, j'ai bien ajouté la partie qui concerne mon identifiant fti/ (comme sur mon ER6), j'ai mis ce qu'il fallait dans lease requirements, du coup je ne sais pas quoi faire, je suis preneur de toute aide.
Merci.
Edit : j'ai peut etre une piste, mais je ne peux pas tester la, ma femme regarde Netflix ......
-
Bon bah mauvaise piste, j'avais pas mis le VL832 pour l’interface du WAN, je pensais donc que ça venait de la, mais non, même après correction toujours aucune adresse IP4 ni IP6.
-
J'ai trouvé mon erreur, un mauvais copié/collé sur une des requêtes a envoyé. J'ai maintenant une adresse IP, me reste plus qu'a ouvrir le traffic du WAN vers le LAN pour les requêtes des appareils sur le LAN.
Edit : Voila après 2 petites règles j'ai réussi à faire communiquer le WAN et le LAN dans les 2 sens. Me reste plus qu'a faire fonctionner le téléphone sur la Livebox sur la 3eme prise de mon OPNSense.
Edit 2 : Petit test de débit
(https://nsa40.casimages.com/img/2019/07/10/190710090312802638.jpg) (https://www.casimages.com/i/190710090312802638.jpg.html)
-
Bon la je coince et j'aurai besoin de votre aide si possible
Mon Réseau :
OPNSense ------ WAN
\----- LAN
\---- Livebox pour téléphonie
\--- Backup NAS
Voici l'assignement :
(https://nsa40.casimages.com/img/2019/07/10/190710093445566946.jpg) (https://www.casimages.com/i/190710093445566946.jpg.html)
Les règles du firewall :
(https://nsa40.casimages.com/img/2019/07/10/190710093524338191.jpg) (https://www.casimages.com/i/190710093524338191.jpg.html)
(https://nsa40.casimages.com/img/2019/07/10/190710093524706214.jpg) (https://www.casimages.com/i/190710093524706214.jpg.html)
(https://nsa40.casimages.com/img/2019/07/10/190710093524963275.jpg) (https://www.casimages.com/i/190710093524963275.jpg.html)
Aucun soucis au niveau du LAN j'envoi et je reçois au travers du Firewall (DHCP sur 192.168.100.x passerelle 192.168.1.254)
Problème au niveau de la Livebox, (DHCP sur 192.168.1.x passerelle 192.168.1.254, Livebox IP fixe 192.168.1.1); Internet OK, téléphonie KO.
NAS backup pas encore attaqué le morceau, mais dans le principe, il n'aura accès qu'au LAN,et dans le LAN seul la machine 192.168.100.20 pourra y accéder ( Mon PC )
Voila si vous avez besoin d'autres infos, n'hésitez pas, la je sèche et ne voit pas se qui bloque.
-
Bon bah j'ai fini par faire fonctionner la téléphonie, mais honnêtement je ne sais pas quelle règles j'ai activé pour cela, je sais que j'ai modifié la chaîne 120 car elle était erronée, donc surement cela aussi.
Merci a tous pour le travail que vous partager.
-
Bon le test IPV6 échoue, mais je ne vois pas pourquoi, car j'ai bien des adresses en IP6 sur le LAN,
(https://nsa40.casimages.com/img/2019/07/13/190713094645888268.jpg) (https://www.casimages.com/i/190713094645888268.jpg.html)
Pourtant le test donne ce résultat :
(https://nsa40.casimages.com/img/2019/07/13/190713094804302329.jpg) (https://www.casimages.com/i/190713094804302329.jpg.html)
-
Tu as une route correcte pour tes postes en ipv6 ?
-
Tu as une route correcte pour tes postes en ipv6 ?
Je pense que tu veux parler de cela :
(https://nsa40.casimages.com/img/2019/07/14/190714014840977387.jpg) (https://www.casimages.com/i/190714014840977387.jpg.html)
sinon j'ai rien d'autre de défini pour IPV6
-
et ça
-
et ça
Oui c'est bien activé aussi.
-
et vous pouvez voir que le serveur dhcpv6 est actif dans GUI
-
et vous pouvez voir que le serveur dhcpv6 est actif dans GUI
Oui il l'est.
-
désolé pour l'anglais par son plus rapide pour moi
Try this
I go to LAN and tick Allow manual adjustment of DHCPv6 and Router Advertisements under the track interfaces section
Then configure the dhcp6 server via
Services: DHCPv6: [LAN]
I tick enable Server and set the range to the full available range
and Router Advertisements via
Services: Router Advertisements: [LAN]
Select Assisted
-
désolé pour l'anglais par son plus rapide pour moi
Try this
I go to LAN and tick Allow manual adjustment of DHCPv6 and Router Advertisements under the track interfaces section
Then configure the dhcp6 server via
Services: DHCPv6: [LAN]
I tick enable Server and set the range to the full available range
and Router Advertisements via
Services: Router Advertisements: [LAN]
Select Assisted
Merci pour votre aide, mais malheureusement pas de changement sur la page IPV6 Test, le test IPV6 échoue toujours
Thank you for your help, but unfortunately no changes on the IPV6 test page, IPV6 test always fails.
-
Bonjour à tous,
Merci pour ce tuto qui m'a permis de me séparer de la Livebox. J'ai donc aujourd'hui (et depuis plusieurs mois), une connection Fibre qui tourne nickel sans aucune Livebox. Par contre, je n'ai plus de téléphone fixe (prise RJ11 sur la Livebox...).
Existe-t'il une méthode pour conserver le téléphone fixe tout en ayant OPNSense ? Je suis prêt à brancher la Livebox (comme un vulgaire "client" sur mon switch ?) si besoin, tant que je conserve la partie parefeu / routage / dhcp sur OPNSense. Je suis aussi prêt à acheter un boitier SIP, mais je ne trouve pas les infos SI Orange / Sosh (dans mon cas).
Merci d'avance pour votre aide.
-
Bonjour à tous,
Merci pour ce tuto qui m'a permis de me séparer de la Livebox. J'ai donc aujourd'hui (et depuis plusieurs mois), une connection Fibre qui tourne nickel sans aucune Livebox. Par contre, je n'ai plus de téléphone fixe (prise RJ11 sur la Livebox...).
Existe-t'il une méthode pour conserver le téléphone fixe tout en ayant OPNSense ? Je suis prêt à brancher la Livebox (comme un vulgaire "client" sur mon switch ?) si besoin, tant que je conserve la partie parefeu / routage / dhcp sur OPNSense. Je suis aussi prêt à acheter un boitier SIP, mais je ne trouve pas les infos SI Orange / Sosh (dans mon cas).
Merci d'avance pour votre aide.
Tout à fait, en utilisant la box comme client sur le switch. ça fonctionne super bien, pas besoin d'avoir Siproxd contrairement à la box d'SFR.
De mémoire, il y a des options DHCP spéciales à fournir pour la box, ainsi que lui spécifier les DNS d'Orange et non ceux du routeur. Le bail DHCP statique permet de donner une config différente à la box qu'aux autres devices du LAN.
Par contre, ce pas possible actuellement d'utiliser du SIP. Orange utilise un protocole modifié à sa sauce pour empêcher cela. Il y a bien eu par le passé des petits "hacks" pour rendre utilisable le téléphone en SIP (Pensée pour x0r, au passage si tu nous lis...) mais Orange a réagi car souhaite garder la main sur sa technologie. Je ne sais pas ce qu'il advient de ça, si d'autres personnes le reprennent.
-
Tout à fait, en utilisant la box comme client sur le switch. ça fonctionne super bien, pas besoin d'avoir Siproxd contrairement à la box d'SFR.
De mémoire, il y a des options DHCP spéciales à fournir pour la box, ainsi que lui spécifier les DNS d'Orange et non ceux du routeur. Le bail DHCP statique permet de donner une config différente à la box qu'aux autres devices du LAN.
Par contre, ce pas possible actuellement d'utiliser du SIP. Orange utilise un protocole modifié à sa sauce pour empêcher cela. Il y a bien eu par le passé des petits "hacks" pour rendre utilisable le téléphone en SIP (Pensée pour x0r, au passage si tu nous lis...) mais Orange a réagi car souhaite garder la main sur sa technologie. Je ne sais pas ce qu'il advient de ça, si d'autres personnes le reprennent.
Merci, je vais ressortir la box de la cave et faire mes tests, je vous tiendrai informé !
-
Merci, je vais ressortir la box de la cave et faire mes tests, je vous tiendrai informé !
C'est bon j'ai ressorti mes backups (maintenant que j'ai changé d'opérateur). Il faudra une interface sur le VLAN 832 (prévoir une carte réseau dédiée et supplèmentaire, ou un switch qui supporte les VLANs, et faire un trunk avec ports tagged pour la box et le routeur.).
Voilà ce que j'avais dans ma config DHCPv4 pour la livebox:
Domaine : orange.fr
Domain search list : LAG.access.orange-multimedia.net
Option 90 : 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
Option 120 : 00:06:73:62:63:74:33:67:03:4c:41:47:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00
Option 125 : 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff
DNS : 81.253.149.1 et 80.10.246.130
Attention, les 3 premières lettres majuscules de Domain Search List peuvent varier selon l'emplacement. L'info se récupère dans : /var/db/dhclient.leases.<interface WAN vlan 832> (utiliser l'accès SSH)
-
Bonjour à tous,
Merci pour ce tuto qui m'a permis de me séparer de la Livebox. J'ai donc aujourd'hui (et depuis plusieurs mois), une connection Fibre qui tourne nickel sans aucune Livebox. Par contre, je n'ai plus de téléphone fixe (prise RJ11 sur la Livebox...).
Existe-t'il une méthode pour conserver le téléphone fixe tout en ayant OPNSense ? Je suis prêt à brancher la Livebox (comme un vulgaire "client" sur mon switch ?) si besoin, tant que je conserve la partie parefeu / routage / dhcp sur OPNSense. Je suis aussi prêt à acheter un boitier SIP, mais je ne trouve pas les infos SI Orange / Sosh (dans mon cas).
Merci d'avance pour votre aide.
Si tu as plusieurs interfaces, il suffit de mettre la Livebox sur une de ces interfaces et de mettre cet interface en DMZ, tu peux ensuite brancher ton téléphone sur ta Livebox comme avant, ça marche chez moi, j'ai ensuite mis une règles pour que mon LAN n'est aucune communication avec ma DMZ. Si tu as besoin d'aide n'hésite pas je te mettrai ma config.
Il faut quand même régler certaine chose notemment l'option 120.
-
Si tu as plusieurs interfaces, il suffit de mettre la Livebox sur une de ces interfaces et de mettre cet interface en DMZ, tu peux ensuite brancher ton téléphone sur ta Livebox comme avant, ça marche chez moi, j'ai ensuite mis une règles pour que mon LAN n'est aucune communication avec ma DMZ. Si tu as besoin d'aide n'hésite pas je te mettrai ma config.
Il faut quand même régler certaine chose notemment l'option 120.
J'ai 4 interfaces sur ma box OPNSense. Merci, du conseil.
-
Si tu as plusieurs interfaces, il suffit de mettre la Livebox sur une de ces interfaces et de mettre cet interface en DMZ, tu peux ensuite brancher ton téléphone sur ta Livebox comme avant, ça marche chez moi, j'ai ensuite mis une règles pour que mon LAN n'est aucune communication avec ma DMZ. Si tu as besoin d'aide n'hésite pas je te mettrai ma config.
Il faut quand même régler certaine chose notemment l'option 120.
Peux-tu m'indiquer comment tu as configuré ton interface dans OPNSense : DHCP, Static, autre ? Et côté Livebox, une config spéciale ? Sur quel port de la Livebox tu te branches ?
Merci :)
-
Peux-tu m'indiquer comment tu as configuré ton interface dans OPNSense : DHCP, Static, autre ? Et côté Livebox, une config spéciale ? Sur quel port de la Livebox tu te branches ?
Merci :)
Des que je rentre chez moi ce soir ou demain dans la journée, je te mets ça.
Pour le port, tu te mets sur le port WAN de la Livebox, celui qui est normalement relié à l'ont. Sur la Livebox, tu laisses tout par défaut sauf la mettre en IP fixe si cela t'arrange, c'est ce que j'ai fait, plus facile à manager ensuite.
-
Des que je rentre chez moi ce soir ou demain dans la journée, je te mets ça.
Pour le port, tu te mets sur le port WAN de la Livebox, celui qui est normalement relié à l'ont. Sur la Livebox, tu laisses tout par défaut sauf la mettre en IP fixe si cela t'arrange, c'est ce que j'ai fait, plus facile à manager ensuite.
Voila j'ai suivi ce tuto : https://forum.nextinpact.com/topic/174169-monter-son-propre-routeur-fibre-opnsense/
-
Voila j'ai suivi ce tuto : https://forum.nextinpact.com/topic/174169-monter-son-propre-routeur-fibre-opnsense/
Merci, par contre sauf erreur de ma part ce tuto ne parle de téléphonie et la Livebox est complètement remplacée (comme dans mon cas).
Aussi, je ne comprends pas comment la Livebox pourrait être joignable sur mon LAN en passant via le port fibre... Lorsque j'assigne une IP fixe sur la box, elle sera "dispo" sur une des 4 prises "clients", non ?
Si je me branche sur un de ces 4 ports en IP fixe, alors j'accède à la box, mais cette dernière n'a pas accès au téléphone... Et je ne suis pas en DMZ non plus, avec la DMZ pour le moment, je n'arrive pas à la joindre du tout. Bref, je continue de tester mais si tu as plus d'info, je prends !
-
C'est bon j'ai ressorti mes backups (maintenant que j'ai changé d'opérateur). Il faudra une interface sur le VLAN 832 (prévoir une carte réseau dédiée et supplèmentaire, ou un switch qui supporte les VLANs, et faire un trunk avec ports tagged pour la box et le routeur.).
Voilà ce que j'avais dans ma config DHCPv4 pour la livebox:
Domaine : orange.fr
Domain search list : LAG.access.orange-multimedia.net
Option 90 : 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
Option 120 : 00:06:73:62:63:74:33:67:03:4c:41:47:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00
Option 125 : 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff
DNS : 81.253.149.1 et 80.10.246.130
Attention, les 3 premières lettres majuscules de Domain Search List peuvent varier selon l'emplacement. L'info se récupère dans : /var/db/dhclient.leases.<interface WAN vlan 832> (utiliser l'accès SSH)
Merci pour les infos.
L'option 90 est générée à partir des logins. Qu'en est-il pour l'option 120 et 125, est-ce unique ou je peux copier / coller les tiens ?
Aussi, as-tu plus d'info concernant le "LAG" : comment connaitre le mien ? :)
EDIT : ok, j'ai trouvé les infos dans le fichier dont tu parlais, /var/db/dhclient.leases.ig...
-
Il faut se brancher sur le port WAN de la box de façon, a ce que la Livebox se connecte aux serveurs de Orange. Désolé pour le lien je suis partie de ce lien et j'ai complété avec des infos piochés a gauche et a droite,
La config que t'ad donné Flo_77 est correcte :
Domaine : orange.fr
Domain search list : LAG.access.orange-multimedia.net
Option 90 : 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
Option 120 : 00:06:73:62:63:74:33:67:03:4c:41:47:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00
Option 125 : 00:00:05:58:0c:01:0a:00:01:00:00:00:ff:ff:ff:ff:ff
DNS : 81.253.149.1 et 80.10.246.130
Attention de personnalisé le domain search en fonction de ville
Voici les copies d'écran de mon OPNSense :
Interfaces :
(https://nsa40.casimages.com/img/2019/07/22/190722124837116552.png) (https://www.casimages.com/i/190722124837116552.png.html)
Livebox :
(https://nsa40.casimages.com/img/2019/07/22/190722124837231603.png) (https://www.casimages.com/i/190722124837231603.png.html)
COnfig DHCP V4 :
(https://nsa40.casimages.com/img/2019/07/22/19072212492421086.png) (https://www.casimages.com/i/19072212492421086.png.html)
(https://nsa40.casimages.com/img/2019/07/22/190722124923789420.png) (https://www.casimages.com/i/190722124923789420.png.html)
Désolé pour la qualité des images, mais je ne suis pas chez moi et j'ai fait des copies d'écran à partir de Teamviewer.
Si tu as d'autre question, n'hésite pas.
-
Il faut se brancher sur le port WAN de la box de façon, a ce que la Livebox se connecte aux serveurs de Orange. Désolé pour le lien je suis partie de ce lien et j'ai complété avec des infos piochés a gauche et a droite,
La config que t'ad donné Flo_77 est correcte :
....
Super, merci !
Ca m'aide bcp, je commence à recoller les morceaux. :)
Puis-je aussi voir tes règles de parefeu pour autoriser le traffic de/vers l'interface Livebox ?
Autre quesiton, une fois tout configuré correctement :
* que voit-on sur l'écran de la Livebox ?
* est-ce que tu peux accéder à l'linterface de gesiton de la Livebox depuis ton LAN ?
-
Super, merci !
Ca m'aide bcp, je commence à recoller les morceaux. :)
Puis-je aussi voir tes règles de parefeu pour autoriser le traffic de/vers l'interface Livebox ?
Autre quesiton, une fois tout configuré correctement :
* que voit-on sur l'écran de la Livebox ?
* est-ce que tu peux accéder à l'linterface de gesiton de la Livebox depuis ton LAN ?
Pour les règles, j'ai mis la Livebox dans une DMZ, c'est a dire qu'elle a libre accès au WAN dans les deux sens, par contre j'ai bloqué les communications de la Livebox vers mon LAN, en effet je n'en ai pas besoin, au pire des cas, je branche un cable sur un des ports de la Livebox pour allez voir ce qui se passe dessus.
Coté Livebox, sur son écran, tu as les infomations habituelles, donc Internet/Tel/Wifi (si actif) opérationnelle, tu ne dois pas avoir d'erreur.
-
Merci pour les infos.
L'option 90 est générée à partir des logins. Qu'en est-il pour l'option 120 et 125, est-ce unique ou je peux copier / coller les tiens ?
Aussi, as-tu plus d'info concernant le "LAG" : comment connaitre le mien ? :)
EDIT : ok, j'ai trouvé les infos dans le fichier dont tu parlais, /var/db/dhclient.leases.ig...
Non cette option 90 c'est une constante renvoyée par le DHCP d'Orange quand tu t'es enregistré. Tout le monde reçoit la même chose.
En cas de doute, tu peux te fier au fameux fichier /var/db/dhclient.lseases qui contient le bail DHCP qu'Orange t'a donné. Tu y retrouveras toute la config que la livebox reçoit en temps normal.
Super, merci !
Ca m'aide bcp, je commence à recoller les morceaux. :)
Puis-je aussi voir tes règles de parefeu pour autoriser le traffic de/vers l'interface Livebox ?
Autre quesiton, une fois tout configuré correctement :
* que voit-on sur l'écran de la Livebox ?
* est-ce que tu peux accéder à l'linterface de gesiton de la Livebox depuis ton LAN ?
-On voit la même chose que si elle était branchée "normalement". Lorsque tu démarre la box, elle t'indique une confirmation avec ton numéro de téléphone. Puis sur cet écran, on voit ensuite les symboles téléphonie et internet actifs.
-Il faudra se connecter sur le wifi de la box ou en RJ45 sur l'un des 4 ports de la box. Je n'ai jamais testé l'accès en virant le pare-feu de la box, elle me servait uniquement qu'au téléphone (wifi coupé).
Sinon pour mon pare-feu, j'avais juste autorisé l'accès au net tout à la fin des rgèles OPNsense :
Action : Pass
IPv4
Interface <interface>
Protocol : any
Source : <interface net>
Destination : any
Gateway : defaut (à changer si ta gateway defaut n'est pas Orange)
Avant cela, j'avais inséré des règles interdisant l'accès aux autres réseaux locaux, pour raisons perso, mais tu n'est pas obligé.
Petit mémo pour OPNsense et Pfsense : les règles sont appliquées en priorité du haut vers le bas. Il faut interdire quelquechose de spécifique avant de tout autoriser. Par défaut, sans autorisation c'est interdit. (le contraire de la vraie vie ;D)
Vala vala :)
-
Merci pour vos réponses.
J'ai un peu avancé, ou pas... En effet, j'ai réussi à donner l'accès net + téléphone à la Livebox, mais en faisant cela, j'ai totalement coupé mon LAN de l'accès à OPNSense... Obligé de restore une config en CLI avec un écran.
Pour info, lorsque j'étais dans ce "mode" là, je pouvais avoir accès au net en branchant un client sur la Livebox... A part des règles de parefeu, je ne sais pas trop ce que j'ai fait de mal !
-
Merci pour vos réponses.
J'ai un peu avancé, ou pas... En effet, j'ai réussi à donner l'accès net + téléphone à la Livebox, mais en faisant cela, j'ai totalement coupé mon LAN de l'accès à OPNSense... Obligé de restore une config en CLI avec un écran.
Pour info, lorsque j'étais dans ce "mode" là, je pouvais avoir accès au net en branchant un client sur la Livebox... A part des règles de parefeu, je ne sais pas trop ce que j'ai fait de mal !
Probablement supprimé l'option "anti lockout" du LAN (qui ajoute une règle laisser accès au port 53, 80, 443 depuis le LAN au pare-feu). Donc il ne te laisse plus accéder à l'interface depuis le LAN. Et pour internet, tu ne peux plus sortir car la toute dernière règle du LAN a du sauter. Vérifie bien la présence de ces règles sur l'interface LAN.
Pour le NAT il faut regarder dans Outbound, par défaut c'est automatique : toutes les interfaces ont le NAT activé.
-
Probablement supprimé l'option "anti lockout" du LAN (qui ajoute une règle laisser accès au port 53, 80, 443 depuis le LAN au pare-feu). Donc il ne te laisse plus accéder à l'interface depuis le LAN. Et pour internet, tu ne peux plus sortir car la toute dernière règle du LAN a du sauter. Vérifie bien la présence de ces règles sur l'interface LAN.
Ca ressemble effectivement à ça, mais je ne me souviens pas avoir touché à l'interface LAN. Je vais triple vérifier la fois suivante. :)
-
J'ai déjà eu un petit bug en ce sens, mon LAN n'avait plus cette règle. Opnsense avait donné cette règle à une autre interface que je venais d'ajouter. Si l'info peut aider... :)
-
Franchement... je sèche !
Ma livebox ne récupère pas d'accès à Internet, et je ne comprends pas pourquoi... Je vous mets qques screens de ma config.
* La Livebox est reliée du port fibre vers le routeur OPNSense (igb3).
* OPNSense IP : 192.168.1.1
* LiveBox IP : 192.168.1.254 (en "dur" dans la config de la Livebox).
https://imgur.com/a/oGZaxCB (https://imgur.com/a/oGZaxCB)
EDIT :
Pour info, avec cette config : avant reboot pas d'internet sur la Livebox.
Après reboot (du OPNSense), accès internet OK sur la Livebox, mais plus d'accès internet, ni même au OPNSense depuis le LAN (mais j'ai quand même des pings qui passent vers internet (il me semble)...). Je suis perdu !
C'est donc exactement le même problème que j'ai eu avant, et je confirme que j'ai bien la règle anti logout.
-
Je suis pas un pro, je vais donc peut être dire une connerie, mais d'après tes screen on dirait que tu as créer 2 VLAN 832, de mon coté, j'utilise le même.
J'ai remarqué une erreur dans ta config :
tu mets le DHCP pour le port de la Livebox sur 192.168.1.254, mais tu mets aussi la même adresse à ta Livebox, cela ne peux pas fonctionner, il faut que tu choisisses une autre adresse pour ta Livebox, comme 192.168.1.200 par exemple.
De plus ta Livebox est sur le même plage d'adresse IP que ton OPNSense, du coup je pige plus rien.
de mon coté :
OPNSense 192.168.100.254
DHCP pour port Livebox 192.168.1.254
Livebox : 192.168.1.1
Change tes plages d'adresse pour voir.
-
Je suis pas un pro, je vais donc peut être dire une connerie, mais d'après tes screen on dirait que tu as créer 2 VLAN 832, de mon coté, j'utilise le même.
J'ai remarqué une erreur dans ta config :
tu mets le DHCP pour le port de la Livebox sur 192.168.1.254, mais tu mets aussi la même adresse à ta Livebox, cela ne peux pas fonctionner, il faut que tu choisisses une autre adresse pour ta Livebox, comme 192.168.1.200 par exemple.
De plus ta Livebox est sur le même plage d'adresse IP que ton OPNSense, du coup je pige plus rien.
de mon coté :
OPNSense 192.168.100.254
DHCP pour port Livebox 192.168.1.254
Livebox : 192.168.1.1
Change tes plages d'adresse pour voir.
Je suis effectivement dans le même sous-réseau avec mes 2 équipements. Je vais changer ça !
Pour les VLAN, je suis aussi sceptique, mais je ne vois pas comment avoir "un seul" VLAN, cf :
(https://i.imgur.com/6Pu3y9A.png)
-
Je suis effectivement dans le même sous-réseau avec mes 2 équipements. Je vais changer ça !
Pour les VLAN, je suis aussi sceptique, mais je ne vois pas comment avoir "un seul" VLAN, cf :
(https://i.imgur.com/6Pu3y9A.png)
Non c'est OK, j'ai bien dit une connerie, tu as bien un seul VLAN, tu as juste changé la description pour les 2 ports, donc tu es OK de ce coté la. Te reste plus qu'a modifier tes adresses IP, et ça devrait rouler.
-
Je suis pas un pro, je vais donc peut être dire une connerie, mais d'après tes screen on dirait que tu as créer 2 VLAN 832, de mon coté, j'utilise le même.
J'ai remarqué une erreur dans ta config :
tu mets le DHCP pour le port de la Livebox sur 192.168.1.254, mais tu mets aussi la même adresse à ta Livebox, cela ne peux pas fonctionner, il faut que tu choisisses une autre adresse pour ta Livebox, comme 192.168.1.200 par exemple.
De plus ta Livebox est sur le même plage d'adresse IP que ton OPNSense, du coup je pige plus rien.
de mon coté :
OPNSense 192.168.100.254
DHCP pour port Livebox 192.168.1.254
Livebox : 192.168.1.1
Change tes plages d'adresse pour voir.
Je t'annonce qu'en ayant mis la livebox dans un sous-réseau différent, ça fonctionne direct !
Demain, je tente le teste de reboot. :)
Merci pour beaucoup pour ton aide, ainsi que l'aide de Flo_77. Je vous tiendrais au courant une fois l'ultime test effectué. )
-
Je t'annonce qu'en ayant mis la livebox dans un sous-réseau différent, ça fonctionne direct !
Demain, je tente le teste de reboot. :)
Merci pour beaucoup pour ton aide, ainsi que l'aide de Flo_77. Je vous tiendrais au courant une fois l'ultime test effectué. )
Nickel ça, heureux d'avoir pu aider.
Et as tu implèmenté l'IPV6, car de mon coté, c'est maintenant le seul truc qui ne fonctionne pas.
-
Bonjour,
Je viens confirmer que tout fonctionne, et que le test du reboot a été un succès. :)
@virtual_jacky, je suis en ipv6 ! Je peux essayer de t'aider si tu veux. :)
-
Ah bah je veux bien, tu as mis quoi pour les paramètres DHCP V6 ?
As tu testé sur le site de vérification de l'IPV6, car moi j'ai bien une adresse en IPV6 sur mon LAN, mais le test échoue systématiquement sur le site de test de l'adresse.
-
Voici ma config + le test :
https://imgur.com/a/IQ7BSHo
Pour info, dans la ligne, " Send Options", j'ai :
"ia-pd 0, raw-option 6 00:0b:00:11:00:17:00:18, raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33, raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d, raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:TON:IDENTIFIANT"
A compléter la dernière partie avec ton identifiant.
Je m'étais basé sur le guide de nextinpact que tu m'as envoyé, et de mémoire, il y a un soucis à un endroit (sur le prefix interface, où il fallait mettre 0 et 8 dans 2 cases différentes, et j'ai mis uniquement le 8 ).
-
Voici ma config + le test :
https://imgur.com/a/IQ7BSHo
Pour info, dans la ligne, " Send Options", j'ai :
"ia-pd 0, raw-option 6 00:0b:00:11:00:17:00:18, raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33, raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d, raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:TON:IDENTIFIANT"
A compléter la dernière partie avec ton identifiant.
Je m'étais basé sur le guide de nextinpact que tu m'as envoyé, et de mémoire, il y a un soucis à un endroit (sur le prefix interface, où il fallait mettre 0 et 8 dans 2 cases différentes, et j'ai mis uniquement le 8 ).
Merci pour les screens et les infos, c'est bien comme cela que je suis configuré aussi, mais rien à faire, je suis en IPV4 et pas d'IPV6, du coup là, c'est moi qui sèche.
-
Si tu veux un envoyer tes screens pour un second coup d'oeil, n'hésite pas !
-
Si tu veux un envoyer tes screens pour un second coup d'oeil, n'hésite pas !
Je fais la MAJ en 19.7 et après je vois si j'ai le temps, j'ai pris du retard au boulot ........
-
J'ai remarqué une chose étrange, lorsque je reboot, le serveur DHCPV6 n'est jamais actif, je doit le lancer moi même.
-
On est bien d'accord que raw-option 11 c'est la même valeur que option 90 du DHCPV4, n'est ce pas ?
Edit :
Voici mes screen :
(https://nsa40.casimages.com/img/2019/07/23/190723093006909502.jpg) (https://www.casimages.com/i/190723093006909502.jpg.html)
(https://nsa40.casimages.com/img/2019/07/23/190723093008164949.jpg) (https://www.casimages.com/i/190723093008164949.jpg.html)
(https://nsa40.casimages.com/img/2019/07/23/190723093008428928.jpg) (https://www.casimages.com/i/190723093008428928.jpg.html)
(https://nsa40.casimages.com/img/2019/07/23/190723093041448749.jpg) (https://www.casimages.com/i/190723093041448749.jpg.html)
Voici les options :
ia-pd 0, raw-option 6 00:0b:00:11:00:17:00:18, raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33, raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d, raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0D:66:74:69:2F:XXXXXXXXXXXXXXXXXXXXXXXX
Voila je pense avoir tout mis.
-
J'ai la même chose que toi... Et je confirme que le raw-option 11 de DHCP v6 = option 90 de DHCP v4
Pour cette histoire de dhcp V6, il n'est pas utilisé... C'est le DHCP d'Orange qui fournit l'IP pas celui d'OPNSense (pour l'IP publique l'interface WAN, donc celle qui t'intéresse).
-
J'ai la même chose que toi... Et je confirme que le raw-option 11 de DHCP v6 = option 90 de DHCP v4
Pour cette histoire de dhcp V6, il n'est pas utilisé... C'est le DHCP d'Orange qui fournit l'IP pas celui d'OPNSense (pour l'IP publique l'interface WAN, donc celle qui t'intéresse).
C'est donc Orange qui ne me donne pas d'IPV6. c'est bizarre parceque j'ai eu le même soucis avec mon Router ER6p d'Ubiquity, cela fonctionnait parfaitement, et du jour au lendemain, impossible d'avoir une IPV6.
Edit : J'essaierai de rebrancher la Livebox en direct et voir si je récupère une adresse IPV6 avec elle.
-
Bon j'ai rebranché la Livebox, et j'ai bien une IPV6 direct avec, j'ai donc bien un soucis avec OPNSense, mais franchement je vois pas d'ou vient le problème.
-
Vous avez un IPv6 sur le réseau local, Orange vous donne une adresse IP. Ce sont vos paramètres qui l'empêchent de fonctionner. À quoi ressemble le préfixe sur LAN
-
Vous avez un IPv6 sur le réseau local, Orange vous donne une adresse IP. Ce sont vos paramètres qui l'empêchent de fonctionner. À quoi ressemble le préfixe sur LAN
Le prefix ID est a 0 sur le LAN.
Pour info mon PC est connecté a un AP-AC-LITE de chez Ubiquity en WIFI, je ne sais pas si cela peux jouer ou non, sachant que le DHCP4 et 6 est désactivé sur l'AP.
Edit : je viens de faire le test, c'est exactement pareil en Ethernet, donc cela ne provient pas de la connexion WIFI.
D'ailleurs je n'ai aucun Lease dans le service DHCP6 contrairement a DHCP4, donc quelque chose ne fonctionne pas au niveau de DHCP6
-
Avez-vous une règle de pare-feu comme celle-ci pour autoriser le trafic ipv6
-
Avez-vous une règle de pare-feu comme celle-ci pour autoriser le trafic ipv6
J'ai cela :
(https://nsa40.casimages.com/img/2019/07/24/190724111839580666.jpg) (https://www.casimages.com/i/190724111839580666.jpg.html)
-
Ok bon
Votre ordinateur auquel vous vous êtes connecté via Ethernet a-t-il une adresse IPv6?
sur mac, allez au terminal et tapez ifconfig
sur windows son ipconfig
vous devriez voir une adresse IPv6 globale sur l’addaptor que vous avez connecté.
partager la sortie ici
-
Ok bon
Votre ordinateur auquel vous vous êtes connecté via Ethernet a-t-il une adresse IPv6?
sur mac, allez au terminal et tapez ifconfig
sur windows son ipconfig
vous devriez voir une adresse IPv6 globale sur l’addaptor que vous avez connecté.
partager la sortie ici
Voila le résultat pour Ethernet et Wifi
(https://nsa40.casimages.com/img/2019/07/24/190724113043295666.jpg) (https://www.casimages.com/i/190724113043295666.jpg.html)
(https://nsa40.casimages.com/img/2019/07/24/190724113043619843.jpg) (https://www.casimages.com/i/190724113043619843.jpg.html)
-
l'adaptateur Wi-Fi a IPV6. l'Ethernet pas. les avez-vous installés sur différents vlans?
-
l'adaptateur Wi-Fi a IPV6. l'Ethernet pas. les avez-vous installés sur différents vlans?
Non puisque mon adaptateur WIFI est sur mon LAN.
-
essayez de désactiver le Wi-Fi sur le PC. puis connectez-le via Ethernet directement au routeur sur le port LAN. ça marche?
-
essayez d'activer le Wi-Fi sur le PC. puis connectez-le via Ethernet directement au routeur sur le port LAN. ça marche?
Si je désactive le WIFI et que je me connecte en Ethernet, en passant par un switch connecté au port LAN (en direct c'est trop loin), vous avez le résultat précédent du post plus haut, donc non cela ne fonctionne pas.
-
le commutateur prend en charge ipv6?
-
le commutateur prend en charge ipv6?
Oui c'est un cisco sg350-10pp
-
c'est un commutateur géré. alors peut-être que vous avez un paramètre qui cause un problème. Je suggérerais toujours un lien direct pour isoler le PC ou le commutateur car le problème
-
c'est un commutateur géré. alors peut-être que vous avez un paramètre qui cause un problème. Je suggérerais toujours un lien direct pour isoler le PC ou le commutateur car le problème
Oui je comprend, je ferai un test demain avec un long cable directement sur le port LAN de OPNsense, merci pour votre aide.
-
Je viens de faire le test PC en direct sur le port LAN
(https://nsa40.casimages.com/img/2019/07/25/190725071150288031.jpg) (https://www.casimages.com/i/190725071150288031.jpg.html)
Je vois que c'est la même chose.
Edit :
En fait le DHCP6 était à l'arret, voici le résultat après l'avoir relancé
(https://nsa40.casimages.com/img/2019/07/25/19072507333636729.jpg) (https://www.casimages.com/i/19072507333636729.jpg.html)
On dirait que c'est mieux, bizarre que le serveur DHCP6 se coupe tout seul
Mais le test échoue toujours
(https://nsa40.casimages.com/img/2019/07/25/190725073701994797.jpg) (https://www.casimages.com/i/190725073701994797.jpg.html)
-
ok question folle mais avez-vous ipv6 activé sur l'adaptateur?
https://www.tenforums.com/tutorials/90033-enable-disable-ipv6-windows.html#option2
-
Oui bien-sur, et il est bien en mode DHCP, afin de recevoir une adresse du routeur.
-
très étrange. si vous souhaitez supprimer des informations privées de votre configuration et les envoyer, je peux les construire sur un routeur de test et vérifier si des paramètres étranges figurent dans votre configuration. Sinon, je n'ai pas plus d'idées
-
très étrange. si vous souhaitez supprimer des informations privées de votre configuration et les envoyer, je peux les construire sur un routeur de test et vérifier si des paramètres étranges figurent dans votre configuration. Sinon, je n'ai pas plus d'idées
Je n'ai pas d'adresse publique en dehors de celle du WAN, seul l'identifiant Orange peut être sensible donc je peux sans problème vous envoyer mon backup de OPNSense. Souhaitez vous que je vous l'envoi par mail afin d’éviter de la mettre sur le forum.
Edit : le serveur DHCP6 était encore arrêté lorsque j'ai voulu faire la sauvegarde, est-ce possible que des fichiers soient endommager, comment dans ce cas les réparer ?
-
Enregistrer la configuration, Nouvelle installation, restaurer la configuration. Retester
Quelle version d'Opnsense utilisez-vous?
-
Enregistrer la configuration, Nouvelle installation, restaurer la configuration. Retester
Quelle version d'Opnsense utilisez-vous?
J'ai fais la MAJ 19.10 avant hier, mais le problème est présent depuis le début.
Pas très pratique si je dois réinstaller, je n'ai pas d'écran a coté du PC OPNSense, il va falloir que je le déplace pour le brancher sur un moniteur.
-
Voila ma config sans mes identifiants orange :
-
OK PM
GUI userid & password
SVP
-
OK PM
GUI userid & password
SVP
Envoyé. Merci pour votre aide.
-
Tout a l'air bien alors maintenant je suis confus. Lorsque vous démarrez le serveur dhcpv6 manuellement, le fichier journal contient-il des erreurs
-
Tout a l'air bien alors maintenant je suis confus. Lorsque vous démarrez le serveur dhcpv6 manuellement, le fichier journal contient-il des erreurs
Après un reboot le DHCP6 est toujours à l'arret, voici les log juste après sans les adress IP, si vous en avez besoin je peux vous PM les log complet.
Jul 25 16:26:20 opnsense: /index.php: Successful login for user 'root' from: 192.168.100.25
Jul 25 16:26:09 kernel: OK
Jul 25 16:26:07 kernel: OK
Jul 25 16:26:07 opnsense: /usr/local/etc/rc.newwanipv6: Failed to detect IP for WAN[wan]
Jul 25 16:26:07 opnsense: /usr/local/etc/rc.newwanipv6: On (IP address: ) (interface: WAN[wan]) (real interface: igb0_vlan832).
Jul 25 16:26:07 opnsense: /usr/local/etc/rc.newwanipv6: IP renewal is starting on 'igb0_vlan832'
Jul 25 16:26:07 kernel: pflog0: promiscuous mode enabled
Jul 25 16:26:07 kernel: pflog0: promiscuous mode disabled
Jul 25 16:26:07 kernel:
Jul 25 16:26:07 opnsense: /usr/local/etc/rc.newwanip: Resyncing OpenVPN instances for interface WAN.
Jul 25 16:26:07 opnsense: /usr/local/etc/rc.newwanip: The WAN_DHCP monitor address is empty, skipping.
Jul 25 16:26:07 opnsense: /usr/local/etc/rc.newwanip: ROUTING: keeping current default gateway 'XXXXXXX'
Jul 25 16:26:07 opnsense: /usr/local/etc/rc.newwanip: ROUTING: setting IPv4 default route to XXXXXXXXX
Jul 25 16:26:07 opnsense: /usr/local/etc/rc.newwanip: ROUTING: IPv4 default gateway set to wan
Jul 25 16:26:07 opnsense: /usr/local/etc/rc.newwanip: ROUTING: entering configure using 'wan'
Jul 25 16:26:07 opnsense: /usr/local/etc/rc.newwanip: On (IP address: XXXXXXX) (interface: WAN[wan]) (real interface: igb0_vlan832).
Jul 25 16:26:07 opnsense: /usr/local/etc/rc.newwanip: IP renewal is starting on 'igb0_vlan832'
Jul 25 16:26:06 sshlockout[93736]: sshlockout/webConfigurator v3.0 starting up
Jul 25 16:26:06 kernel: done.
Jul 25 16:26:06 syslog-ng[41720]: syslog-ng starting up; version='3.21.1'
Jul 25 16:26:06 syslogd: kernel boot file is /boot/kernel/kernel
Jul 25 16:26:06 syslogd: exiting on signal 15
Jul 25 16:26:06 kernel: done.
Jul 25 16:26:06 kernel: done.
Jul 25 16:26:05 opnsense: /usr/local/etc/rc.bootup: Resyncing OpenVPN instances.
Jul 25 16:26:03 kernel: pflog0: promiscuous mode enabled
Jul 25 16:26:03 kernel: pflog0: promiscuous mode disabled
Jul 25 16:26:03 kernel:
Jul 25 16:26:03 kernel: done.
Jul 25 16:26:03 kernel: ......
Jul 25 16:26:03 opnsense: /usr/local/etc/rc.newwanipv6: IP renewal deferred during boot on 'igb0_vlan832'
Jul 25 16:26:03 opnsense: /usr/local/etc/rc.bootup: The WAN_DHCP monitor address is empty, skipping.
Jul 25 16:26:03 kernel: done.
Jul 25 16:26:03 dhcp6c: dhcp6c REQUEST on igb0_vlan832 - running newipv6
Jul 25 16:26:03 dhcp6c[51929]: add an address XXXXXXXXXX/64 on igb1
Jul 25 16:26:03 dhcp6c[51929]: Received REPLY for REQUEST
Jul 25 16:26:03 dhcp6c[51929]: freeing op data at 0x71e1ec26370
Jul 25 16:26:03 dhcp6c[51929]: freeing op data at 0x71e1ec25070
Jul 25 16:26:03 dhcp6c[51929]: freeing op data at 0x71e1ec682d0
Jul 25 16:26:03 dhcp6c[51929]: freeing op data at 0x71e1ec61010
Jul 25 16:26:03 dhcp6c[51929]: Sending Request
Jul 25 16:26:03 dhcp6c[51929]: freeing op data at 0x71e1ec26190
Jul 25 16:26:03 dhcp6c[51929]: freeing op data at 0x71e1ec25050
Jul 25 16:26:03 dhcp6c[51929]: freeing op data at 0x71e1ec682a0
Jul 25 16:26:03 dhcp6c[51929]: freeing op data at 0x71e1ec61010
Jul 25 16:26:03 dhcp6c[51929]: Sending Solicit
Jul 25 16:26:03 kernel: done.
Jul 25 16:26:03 devd: Popping table
Jul 25 16:26:03 kernel: done.
Jul 25 16:26:03 opnsense: /usr/local/etc/rc.bootup: Warning! dhcpd_radvd_configure(auto) found no suitable IPv6 address on igb1
-
Des travaux ont été effectués à la version 19.7.1 (publiée il y a une heure) pour résoudre des problèmes liés à ipv6. Permet de mettre à niveau et d'essayer. Je l'exécute déjà sur mon système.
-
Vous avez un IPv6 sur le réseau local, Orange vous donne une adresse IP. Ce sont vos paramètres qui l'empêchent de fonctionner. À quoi ressemble le préfixe sur LAN
Dans "Services: DHCPv6: Leases (1)", j 'ai bien une IPV6 en ce moment (mon PC principal) et qui correspond à celle du test ipv6, et qui est aussi celle de mon pc principal. Du coup, j'ai probablement dit une con***rie. Le DHCPV6 d'OPNSense doit être lié.
@virtual_francky, du coup, j'allais te dire de tester en direct avec la Livebox en "espérant" que tu n'aies pas d'IPV6.. mais là, clairement si tu en as une, c'est qu'il y un souci avec ta conf...
-
Alors j'ai fait la MAJ, 19.7.1, j'ai réinstallé tous les package lié au DHCP6, je reboot et toujours la même chose
Jul 25 20:54:09 opnsense: /usr/local/etc/rc.newwanipv6: Failed to detect IP for WAN[wan]
Jul 25 20:54:09 opnsense: /usr/local/etc/rc.newwanipv6: On (IP address: ) (interface: WAN[wan]) (real interface: igb0_vlan832).
Jul 25 20:54:09 opnsense: /usr/local/etc/rc.newwanipv6: IP renewal is starting on 'igb0_vlan832'
Jul 25 20:54:06 opnsense: /usr/local/etc/rc.newwanipv6: IP renewal deferred during boot on 'igb0_vlan832'
Jul 25 20:54:06 opnsense: /usr/local/etc/rc.bootup: The WAN_DHCP monitor address is empty, skipping.
Jul 25 20:54:06 dhcp6c: dhcp6c REQUEST on igb0_vlan832 - running newipv6
Jul 25 20:54:06 dhcp6c[77763]: add an address 2a01:cb19:740:8e00:4262:31ff:fe00:a887/64 on igb1
Jul 25 20:54:06 dhcp6c[77763]: Received REPLY for REQUEST
Y a clairement un truc qui ne fonctionne pas mais la je vois pas, je vais voir si sur le forum Anglais d'OPNSense quelqu'un y comprend quelque chose.
-
Alors j'ai fait la MAJ, 19.7.1, j'ai réinstallé tous les package lié au DHCP6, je reboot et toujours la même chose
Jul 25 20:54:09 opnsense: /usr/local/etc/rc.newwanipv6: Failed to detect IP for WAN[wan]
Jul 25 20:54:09 opnsense: /usr/local/etc/rc.newwanipv6: On (IP address: ) (interface: WAN[wan]) (real interface: igb0_vlan832).
Jul 25 20:54:09 opnsense: /usr/local/etc/rc.newwanipv6: IP renewal is starting on 'igb0_vlan832'
Jul 25 20:54:06 opnsense: /usr/local/etc/rc.newwanipv6: IP renewal deferred during boot on 'igb0_vlan832'
Jul 25 20:54:06 opnsense: /usr/local/etc/rc.bootup: The WAN_DHCP monitor address is empty, skipping.
Jul 25 20:54:06 dhcp6c: dhcp6c REQUEST on igb0_vlan832 - running newipv6
Jul 25 20:54:06 dhcp6c[77763]: add an address 2a01:cb19:740:8e00:4262:31ff:fe00:a887/64 on igb1
Jul 25 20:54:06 dhcp6c[77763]: Received REPLY for REQUEST
Y a clairement un truc qui ne fonctionne pas mais la je vois pas, je vais voir si sur le forum Anglais d'OPNSense quelqu'un y comprend quelque chose.
Dans tes logs, je vois du igb0 et igb1, normal ?
-
pouvez-vous partager le contenu du fichier
var/etc/dhcp6c_wan.conf
-
pouvez-vous partager le contenu du fichier
var/etc/dhcp6c_wan.conf
Voila
interface igb0_vlan832 {
send ia-pd 0;
send raw-option 6 00:0b:00:11:00:17:00:18;
send raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
send raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d;
send raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0D:XX:3c:12:31:32:33:34:35:36:37:38:39:30:31:32:33:34:35:36:03:13:41:72:3e:22:ac:ef:16:76:f8:33:6c:b4:21:59:e2:a8:ba;
script "/var/etc/dhcp6c_wan_script.sh";
};
id-assoc pd 0 {
prefix-interface igb1 {
sla-id 0;
sla-len 8;
};
};
J'ai remplacé mon identifiant par XX
-
Dans tes logs, je vois du igb0 et igb1, normal ?
oui c'est le nom de mes ports.
-
Voila
interface igb0_vlan832 {
send ia-pd 0;
send raw-option 6 00:0b:00:11:00:17:00:18;
send raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
send raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d;
send raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0D:XX:3c:12:31:32:33:34:35:36:37:38:39:30:31:32:33:34:35:36:03:13:41:72:3e:22:ac:ef:16:76:f8:33:6c:b4:21:59:e2:a8:ba;
script "/var/etc/dhcp6c_wan_script.sh";
};
id-assoc pd 0 {
prefix-interface igb1 {
sla-id 0;
sla-len 8;
};
};
J'ai remplacé mon identifiant par XX
cest bon
-
oui c'est le nom de mes ports.
Je voyais que mon port wan dans les logs, mais dans le fichier de conf que tu montres plus bas, j'ai aussi les 2 ports et la même config que toi. :(
-
Bon bah j'ai retenté un réinstallation directement en 19.7, puis MAJ en 19.7.1, mais exactement le même problème, est ce que cela pourrait être un problème matériel ?
-
il y a une certaine étrangeté autour de la passerelle. J'ai apporté une modification à une passerelle et j'ai perdu ipv6. Heureusement, ma restauration de configuration a renvoyé ipv6. Enregistrez votre configuration. Puis ajoutez et supprimez quelques passerelles que vous pouvez conserver lorsque vous les ajoutez. En fait, elles n'apparaissent pas dans l'interface graphique, mais Dpinger essayera toujours de les utiliser.
-
il y a une certaine étrangeté autour de la passerelle. J'ai apporté une modification à une passerelle et j'ai perdu ipv6. Heureusement, ma restauration de configuration a renvoyé ipv6. Enregistrez votre configuration. Puis ajoutez et supprimez quelques passerelles que vous pouvez conserver lorsque vous les ajoutez. En fait, elles n'apparaissent pas dans l'interface graphique, mais Dpinger essayera toujours de les utiliser.
j'ai rajouté des gateway, mais cela ne change rien.
-
Problème résolu, c'était mon point d'accès Wifi Ubiquity qui bloquait l'IPV6, après avoir configuré correctement l'AP
(https://nsa40.casimages.com/img/2019/07/27/190727114808984851.jpg) (https://www.casimages.com/i/190727114808984851.jpg.html)
Voila, merci @ tous pour votre aide.
-
Bonjour,
je suis nouveau ici, je suis assez novice, j'ai eu récemment la fibre, j'ai reconverti un vieux PC pour le mettre sous opensense.
J'ai mis une vielle carte 4 ports Gig Broadcom qui trainait au boulot et j'utilise l'entrée Gig de la carte mère de mon vieux PC (une Gigabyte )
J'ai donc suivi le tuto opnsense directement via la documentation officielle.
J'ai réussi à avoir une ipv4 sans difficultés, mais je n'arrive pas à avoir la TV.
Le décodeur me renvoi une erreur G03 aka livebox incompatible.
Ma configuration est très basique :
Fibre->RJ45 (TPLINK) --- re0 (WAN - PC opnsense)
----- bc0 (LAN - PC opnsense)
----- bc1 (TVLAN - PC opnsense)
Assignments:
https://imgur.com/66HoZRc
j'ai configuré les VLAN 832, 838 et 840 comme il faut je penses.
J'ai bien une ip sur le 838 provenant des DNS Orange (10.X)
J'ai configuré IGMP proxy comme dans le tuto ...
Je pense que le problème vient de mes règles de firewall étant donné que c'est ce qui est le moins explicité dans les tutos ...
Je n'ai pas d'ipv6, je ne comprend pas non plus pourquoi, car j'ai bien mis les options, le service DHCPV6 comme il faut, mais bon ce n'est pas le plus urgent, pour l'instant...
Je suis un peu démuni, je ne sais plus quoi faire pour faire fonctionner cette satané TV :)
Si une âme charitable pouvait m'accompagner dans mon périple, je lui en serait très reconnaissante !
Merci d'avance
-
Je poste toute ma config au cas où...
Dans l'ordre :
- LAN
- TVLAN
- WAN
- VLAN838
- VLAN840
- Overviews
- Interfaces VLAN
- NAT Outbound
- IGMP Proxy
-
Le décodeur TV, c'est le tout dernier ?
Si oui, alors il faut lui fournir par DHCP les informations concernant la Livebox à laquelle il est sensé être connecté, en utilisant l'option 125, qui doit contenir les 3 premiers octets de l'adresse mac de la box, son numéro de série ainsi que sa version (Livebox3 ou Livebox4).
Le détail du format à utiliser se trouve dans un post sur le forum, qu'il va falloir retrouver...
Et sinon, le VLAN 838 ne sert plus à rien.
-
Merci !
Je vais chercher de ce côté là alors.
S'il y a d'autres personnes qui en savent un peu plus, je suis preneur :)
-
J'avais oublié que j'ai fait un script bash pour générer la chaine ;)
#!/bin/bash
maclivebox=24:7F:20:01:23:45
verlivebox=4
serlivebox=AB01234CD567890
tohex() {
for h in $(echo $1 | sed "s/\(.\)/\1 /g"); do printf %02x \'$h; done
}
addsep() {
echo $(echo $1 | sed "s/\(..\)/:\1/g")
}
m=0406$(tohex ${maclivebox//:/} | cut -c1-12)
s=050f$(tohex ${serlivebox})
l=0609$(tohex Livebox)20$(tohex $verlivebox)
echo 00:00:0d:e9:24$(addsep ${m}${s}${l})
Il faut évidemment ajuster le contenu des variables maclivebox, verlivebox et serlivebox, puis exécuter le script. Ensuite rajouter l'option 125 dans le configuration du serveur DHCP d'OPNsense, et s'assurer que le décodeur utilise bien les serveurs DNS d'Orange (et pas ceux de Google ou autre...). Je ne connais pas OPNsense donc je ne peux pas donner plus d'infos.
-
Je vais essayer ca merci. Pour la conf opnsense j'ai vu le post de Franky plus haut qui parle de l'option 125 en mettant la livebox sur une DMZ.
Je penses que je vais faire quelque chose comme ca.
Merci encore.
-
Alors j'ai sniffé l'option 125 sur la livebox quand elle a lancé sa négociation sur son wan fibre.
J'ai mis ca dans les options DHCP de l'interface livebox opnsense.
J'ai un vlan_832 de conf sur le port utilisé pour connecter la livebox.
Tout semble configuré correctement
De la trame sniffée j'ai pris :
domain search list
dns servers
domain name
default lease time
et je forge les options : 125, 120, 90, 119
Et ma livebox ne se connecte pas ...
Je ne sais plus quoi faire, mes règles de firewalling semblent bonne, j'ai juste coupé l'accès à mon lan pour la livebox.
Pour le reste elle peut accéder a la gateway de l'opnsense et de l'extérieur vers elle aussi normalement.
Je ne comprend pas :(
-
Bon je parle un peu tout seul mais voilà j'ai avancé.
J'ai mis ma livebox en DMZ, j'ai le téléphone... j'ai pas changé l'option 120 du coup je passe par strasbourg pour appeler vue que j'ai copier collé, du coup je passe le bonjour à Strasbourg...
Le problème venait d'une de mes règle de firewall qui empéchait la livebox d'envoyer quoi que ce soit sur le net et donc de contacter les DNS etc...
Bref, maintenant je n'ai pas la TV, j'ai bien conf le vlan 840 comme indiqué dans le tuto opnsense, avec le serveur igmp, j'ai mis les règles comme il faut je penses, j'ai config un TVLAN sur un port de ma carte ethernet, mais le décodeur me renvoi toujours G03.
J'ai essayé de dump les trames réseaux sur le TVLAN on dirait que tout se passe bien, je vois le decodeur qui fait le call au DHCP en interne qui récup une ip comme il faut, ensuite je vois pas mal d'appels sur les plages ip qui sont mises dans le proxy IGMP.
Ensuite j'ai une Hello done qui passe puis un échange de certificat, puis ... plus rien.
Pas de TV :(
Je désespère un peu là.
-
Ne pas mélanger l'option 125 qui doit être renvoyée à la Livebox (le routeur), et l'option 125 qui doit être renvoyée au décodeur. Leur contenu est différent.
L'erreur G03, c'est parce que le décodeur ne reçoit pas l'option 125 dans le bon format. Donc encore une fois, mon script permet de générer l'option à envoyer au décodeur. Ou alors il faut sniffer le dialogue DHCP entre la Livebox et le décodeur. Sans l'option, le décodeur récupèrera bien une IP mais refusera toute diffusion.
-
Ah oui en effet, j'ai mis la même que la livebox je crois... je vais essayer ca.
Merci !
-
Rebonjour à tous,
j'ai avancé encore une fois grâce à toi Zoc, j'ai maintenant les replay mais pas le flux multicast.
J'ai une erreur : L11-06.
Impossible de trouver la source, j'ai bien les manifests avec le programme TV tout ca, mais pas le flux video.
Bizarement je n'ai aucun signe de blocage au niveau des logs du firewall et quand j'inspecte les les trames qui passent sur mon lan TV tout semble ok.
Seul un message un peu étrange sur un duplicate ACK apparait à un moment et donne lieu à une erreur.
Est ce que vous auriez une idée ? :/
-
Bon inutile de répondre, tout fonctionne parfaitement...
Il fallait juste rebooter le routeur à priori.
Peut être un paramétrage qui n'était pas pris en compte.
Merci beaucoup pour le coup de main !
-
Bonjour @ tous, je reviens ici, car de nouveaux, plus d'IPV6, mais cette fois ci, le service DHCPV6 ne démarre même pas, même en manuel. J'ai fais la mise à jours 19.7.2.
Franchement je ne sais plus quoi faire, je tourne en rond depuis plusieurs jours.
D'ailleurs même ma Livebox connecter sur le port igb3 de mon module OPNSense ne récupère pas d'adresse IPV6.
Si je le branche seul, l'IPV6 reviens, donc le problème provient bien de mon module OPNSense. J'ai eu une coupure de courant, est-ce que cela pourrait en être la raison ? Car j'ai constaté que mon PC fixe, ne récupère plus d'IPV6 lorsque le Livebox en a une, je dois me connecter en Wifi par l'intermédiaire d'une Clé Wifi externe, la carte interne ne semble plus vouloir prendre d'IPV6, alors que cela fonctionnait parfaitement il y a peu.
-
Bon alors j'ai avancé dans mes recherches, j'ai réinstallé la version 19.1.4, et la tout est reparti comme avant, le DHCPV6 ne se lance pas en auto parfois, donc je le lance à la main, mais au moins je récupère une adresse IPV6, maj vers 19.1.10 réussi, et pas de perte de l'IPV6, la prochaine étape sera le passage à la 19.7.3, affaire à suivre ....
-
Je n'arrive pas à avoir l'ipv6 non plus :/
-
J'ai de nouveau perdu la connectivité IPV6, cette fois, il ne s'est rien passé, pas de coupure de courant, pas de reboot de OPNSense. N'y aurait-il pas une espèce de controle d'Orange de présence de la Livebox réelle ?
Parce que la franchement je ne vois pas pourquoi cela ne fonctionne pas. Je vais essayé de rebooter OPNsense plus tard dans le soirée, quand personne ne regardera plus la TV chez moi.
-
Je pense qu'il y a un bug ou un mauvais fonctionnement avec OPNSense, je viens de rebooter mon système, et cela n'a rien changé au problème, je me dis que je ne perd rien a rechargé mon backup d'hier qui était opérationnel, et la miracle, la connectivité IPV6 est revenu. Je ne comprend pas pourquoi, mais tout refonctionne de nouveau.
Quel différence avec un simple reboot ?.
-
Hello,
Question bête mais est-il possible de bridger ou tricher quand on a que 2 port (wan/lan) pour avoir la télé ?
-
VLAN's
-
Bridge VLAN’s
-
Il n'y aucun besoin de VLAN pour la TV d'Orange sur la partie lan (réseau local)
Il y a besoin uniquement d'IGMP Snooping pour le switch entre le routeur et le lan sinon tous les ports son arrosés.
-
Ah nickel, merci pour l’info ;)
-
Bonsoir tout le monde,
De mon côté j'arrive bien à récupérer une IPv6 mais impossible de récupérer une IPv4. J'ai suivi la doc officiel, refait la configuration une dizaine de fois et je vous avoue que je seche la.
Dans les logs et capture reseau, je vois uniquement les DHCPDISCOVER, puis rien. Je vois bien les options que j'ai configuré dans la configuration de mon interface WAN.
Avez-vous une idée ? J'utilise un opnsense sur un deciso d630.
Merci par avance pour votre aide.
Julien
-
Orange s'amuse à faire une vérification de présence de la Livebox de temps en temps, car j'ai perdu le téléphone du jour au lendemain, et que le fait de rebrancher la livebox quelques secondes, et remettre OPNSense et le téléphone est de retour, sauf que c'est pas pratique quand on est à 3000km de la maison et que Mme ne veux pas toucher aux câbles.
Y a moyen d'éviter ce problème ?
-
Orange s'amuse à faire une vérification de présence de la Livebox de temps en temps
Non. Ma box est débranchée depuis 3 ans (enfin, elle est derrière mon ERL puis mon ER4 depuis 3 ans et je n'ai jamais perdu le téléphone)...
-
Pareil que Zoc: livebox connectée en tant que client (derrière mon retour) depuis un peu plus d'un an et aucun souci.
virtual_francky> est-ce que juste un reboot de la livebox résout le souci ?
-
Malheureusement non un reboot de la Livebox, ni de OPNSense ne suffit pas, je suis obligé de rebrancher la Livebox en direct quelques secondes.
J'avais déjà le même problème avec un ER6 pro, ou périodiquement (une fois tous les 2 mois), je perdais aussi le téléphone sans raison, et idem j'étais obligé de rebrancher la livebox en direct pour le retrouver, c'est pour cela que je pensais que c'était une vérification périodique de la part d'Orange.
J'ai même eu cet été une coupure de courant, qui après retour à la normal, et reboot de tous les éléments, j'avais perdu Internet et le téléphone, la solution ayant été la même.
-
j'ai le même souci sur un autre routeur (unifi USG 3P) il semblerait que l'option 125 ne suffise plus.
-
Désolé, je n'ai pas rebranché le décodeur TV depuis que je suis passé sous OPNSense, j'utilise MyCanal. Mais avec un routeur EP6 de chez Ubiquiti, cela fonctionnait sans problème.
-
Bonjour,
J'ai suivi ce tuto https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html?highlight=orange
J'ai pris soins de modifier l'option 90 proposé par le tuto (qui ne fonctionne pas) par celle-ci 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
J'ai bien internet (ipv4 + ipv6). Je continu donc sur le tuto suivant : https://docs.opnsense.org/manual/how-tos/orange_fr_tvf.html
Mais j'ai une erreur G03. J'ai vu que je dois utiliser l'option 125 il me semble.
Pour générer mes options j'ai utilisé le script suivant :
#!/bin/sh
login='fti/xxxxxxx' #login userid
pass='xxxxxxx' #login password
livebox='4' #livebox version
maclivebox=XX:XX:XX:XX:XX:XX #LiveBox Mac Address
serlivebox=XXXXXXXXXXXXXXX #LiveBox Serial Number
tohex() {
for h in $(echo $1 | sed "s/\(.\)/\1 /g"); do printf %02x \'$h; done
}
#Authorisation String
#Fixed Part
f="00000000000000000000001a0900000558010341010d"
#RANDSTRING
r=$(dd if=/dev/urandom bs=1k count=1 2>&1 | md5 | cut -c1-16)
#RANDCHAR
id=${r%${r#??}}
#MD5 HASH (RANDCHAR+pass+RANDSTRING)
h=3c12$(tohex ${r})0313$(tohex ${id})$(echo -n ${id}${pass}${r} | md5 | cut -c1-32)
#Dhcp Authorisation string (FIXED+LOGIN+MD5HASH)
option90=$(echo ${f}$(tohex ${login})${h} | sed 's/\(..\)/\1:/g' | sed '$s/.$//')
rawoption11=$option90
#Dhcp Send options & Dhcp6c raw-options
dhcpclassidentifier='sagem'
userclass832='+FSVDSL_livebox.Internet.softathome.Livebox'${livebox}
userclass838=''\''FSVDSL_livebox.MLTV.softathome.Livebox'${livebox}
rawoption6='00:0b:00:11:00:17:00:18'
rawoption15='00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:3'$livebox
rawoption16='00:00:04:0e:00:05:73:61:67:65:6d'
#Dhcp VLAN 832 and 838 request options
requestoptions832='subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search, routers,domain-name-servers,option-90,option-120,option-125'
requestoptions838='subnet-mask,routers, ntp-servers, www-server, classless-routes'
#TV Decoder dhcp server Option-125
mac=$(echo ${maclivebox} | sed -e 's/://g')
lb=$(echo $(tohex 'Livebox')'20'$(tohex ${livebox}) | sed 's/\(..\)/\1:/g' | sed '$s/.$//')
option125=$(echo '00:00:0d:e9:24:04:06:'$(tohex ${mac} | cut -c 1-12 | sed 's/\(..\)/\1:/g' | sed '$s/.$//')":05:0f:$(tohex ${serlivebox} | sed 's/\(..\)/\1:/g' | sed '$s/.$//'):06:09:"$lb)
echo
echo '\033[1m+++++++++++++++++++++\033[0m'
echo '\033[1mDhcp Options VLAN 832\033[0m'
echo '\033[1m+++++++++++++++++++++\033[0m'
echo
echo '\033[1mSend Options\033[0m'
echo 'dhcp-class-identifier "'$dhcpclassidentifier'",user-class "'$userclass832'",option-90 '$option90
echo
echo '\033[1mRequest Options\033[0m'
echo $requestoptions832
echo
echo
echo '\033[1m+++++++++++++++++++++++\033[0m'
echo '\033[1mDhcp6c Options VLAN 832\033[0m'
echo '\033[1m+++++++++++++++++++++++\033[0m'
echo
echo '\033[1mSend Options\033[0m'
echo 'ia-pd 0,raw-option 6 '$rawoption6',raw-option 15 '$rawoption15',raw-option 16 '$rawoption16',raw-option 11 '$rawoption11
echo
echo
echo '\033[1m+++++++++++++++++++++\033[0m'
echo '\033[1mDhcp Options VLAN 838\033[0m'
echo '\033[1m+++++++++++++++++++++\033[0m'
echo
echo '\033[1mSend Options\033[0m'
echo 'dhcp-client-identifier 1:'$maclivebox',dhcp-class-identifier "'$dhcpclassidentifier'",user-class "'$userclass838'"'
echo
echo '\033[1mRequest Options\033[0m'
echo $requestoptions838
echo
echo
echo '\033[1m++++++++++++++++++++++++++++++++++\033[0m'
echo '\033[1mDhcp Advanced Server Options TVLAN\033[0m'
echo '\033[1m++++++++++++++++++++++++++++++++++\033[0m'
echo
echo '\033[1mNumber=\033[0m 125'
echo '\033[1mType=\033[0m string'
echo '\033[1mValue=\033[0m '$option125
echo
echo
J'utilise ce décodeur TV :
(https://boutique.orange.fr/nouveautes/decodeur-tv-uhd/img/banniere-940.jpg)
Si quelqu'un possède la même configuration que moi à savoir : Livebox 4 + Décodeur TV UHD et que tout fonctionne pour lui, serait-il possible d'avoir un tuto détaillé pour la TV ?
Merci d'avance,
Bonjour, merci pour ton poste.
Au passage je souhaite t'informer toi et les autres qui passeront dans le future qu'il faut modifier quelque lignes dans ton script. Il faut remplacer la command "md5" par "md5sum" sur un environnent type debian/ubuntu. Si vous le faite pas, le résultat a la fin de l’exécution du script ne sera pas correct.
-
Hello,
J'ai été embêter chez un pote avec du mikrotik. L'option 125 à du changer car en prenant le script ou même les info grappiller sur le forum ça marchait pas
J'ai dump la requête dhcp de la livebox et j'ai bêtement recopier la chaîne de caractères et nickel
Voici l'option obtenue en Hexa :
Option 125 : 00000de928040646MMMMMMMMMMMM0fxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx060d4c697665626f7820yyyyyyyyyy
So ça peut aider. Les xxxx sont a remplacee par votre SN, et tu par le modèle de box
34 si livebox 4
4669627265 si livebox 5, s'appelle Fibre dans l'option 125
Les mm sont a remplacer par le début de mac address de votre box
-
Bonjour,
j'ai suivi tout le tuto pour Internet et la TV. D'ailleurs, merci pour le travail réalisé. Quelques ajustements sont nécessaires mais ça marche plutôt bien (pour internet en tout cas).
J'ai installé OPNSense sur un Corus XLAN4-IR8.
Sur lequel j'ai configuré:
igb0 -> WAN01
igb1 -> LAN
igb2 -> LANTV
igb3 -> WIFI (via un routeur ASUS 86C en mode AP.
Sur la TV j'ai systématiquement une bascule vers la TNT pour toutes les chaines. Pour OCS j'ai juste la page d’accueil générale, mais les 4 chaine ne fonctionnent pas.
J'ai remarqué que sur le dashboard, les interfaces ont toutes une adresse sauf le VLAN 838 qui est toujours en 0.0.0.0. Je n'ai que des DHCP DISCOVER sans aucun autre message DHCP.
Pourtant j'ai bien la route IPV4, proto any, source VLAN838 net et le reste en any.
Je ne vois toujours pas ce qu ne convient pas.
j'ai bien mis l'option DHCP avec l'adresse MAC de ma livebox précé de 1:, faut il plutot 01: ?
Merci d'avance.
Cordialement
-
Supprime le VLAN 838, il ne sert plus à rien depuis au moins 18 mois... Ceci dit, ce n'est pas la raison qui fait que la TV ne fonctionne pas.
-
Je ne garde que le VLAN 840 donc?
Il y a une config différente alors?
Ceci dit, mon abonnement date de 2014. Je ne peux d’ailleurs pas avoir d'upgrade de Livebox car Orange veut me faire changer d'abonnement (j'ai OCS gratos, offert avec mon abonnement quand j'ai souscrit).
La configuration du VLAN 840 du TUTO est-elle toujours valable?
-
VLAN 840 pour le flux multicast de la TV (direct)
VLAN 832 (en DHCP) pour Internet, la TV en VOD et le téléphone.
Info importante: Il est obligatoire d'utiliser les DNS d'Orange sur les décodeurs pour que la TV fonctionne.
Que l'abonnement soit de 2014 ou d'hier ne change rien.
-
VLAN 840 pour le flux multicast de la TV (direct)
VLAN 832 (en DHCP) pour Internet, la TV en VOD et le téléphone.
Info importante: Il est obligatoire d'utiliser les DNS d'Orange sur les décodeurs pour que la TV fonctionne.
Que l'abonnement soit de 2014 ou d'hier ne change rien.
C'est effectivement le cas pour le 840. Avec les DNS Orange comme sur le TUTO. Mais ça ne marche pas, ou plutôt partiellement vu que j'arrive à avoir le menu de choix de OCS pour regarder un film ou une serie..
-
Bonjour,
Je viens aussi me renseigner à propos de l'IPTV. Je tournais en version 18.7.9 il y a peu et j'ai décidé de passer en 18.7.10. Au passage, quelque chose a "cassé" : plus possible d'accéder à internet avec de l'IPV4 au niveau de mes équipements (par contre ça fonctionnait au niveau du routeur directement...) et l'IPTV ne fonctionnait plus (probablement lié au premier problème).
J'ai donc repris toute l'installation, je suis passé directement en fresh install sur la dernière version 19. Je peux maintenant récupérer une adresse IPV4 et IPV6. EN revanche, au niveau du décodeur TV, j'ai un problème. Celui-ci démarre, trouve mon routeur et affiche le menu orange, par contre je n'ai aucun flux TV. Au bout de quelques secondes j'ai le message d'erreur L11-06 qui s'affiche.
Pour info, j'ai suivi le tutoriel sur disponible dans la doc opnsense, je n'ai pas mis en place le VLAN838 (qui est inutile dorénavant). Au niveau du DHCP du TVLAN, j'ai rajouté l'option 125 avec la chaine de caractères qui va bien (qui fonctionnait sur ma précédente version de opnsense. D'ailleurs, faudrait surement proposer une mise à jour du tutoriel sur le site de la doc à l'occasion). Comment est-ce que je peux débugger ce problème? Je ne sais pas quelle démarche mettre en place pour détecter le problème.
Merci à vous.
-
Hello,
Il me semble que la chaîne 125 a légèrement changée dernièrement. Il faut sniffer la requête dhcp de la livebox pour avoir la chaîne exact
-
Je viens de faire ça. Pour ma part la requête 125 de la livebox4 n'a pas changée. Je retrouve exactement la requête que j'avais programmé.
-
Très intéressant ce topic 😉
-
J'ai toujours mes problèmes d'accès au flux TV : lors du démarrage du décodeur, celui-ci affiche le menu Orange (le NTP est à l'heure, les pubs sont là) mais le flux TV ne démarre pas et j’obtiens l'erreur L11-06.
J'ai revu toute ma configuration, j'avais un défaut de configuration IGMPproxy (le réseau était en /32 plutôt que /8) mais maintenant, tout est rentré dans l'ordre mas je n'ai pas accès au flux TV.
J'ai ajouté des screens de ma configuration dans mon post.
D'après mes essais, lorsque je suis dans le TVLAN, je peux avoir accès à internet sans problèmes. La requête DHCP décodeur/routeur est impeccable, je retrouve tous mes petits. Je pense à une erreur règles FW, je ne suis pas encore très aiguisé dans ce domaine, mais ça vient petit à petit. Dans les screens, par dépit, j'ai même autorisé les requêtes IPv6 à sortir du TVLAN (mais bon, c'est bien inutile puisque l'interface TVLAN ne track pas les IPv6). J'ai aussi tenté l'outbound sur le TVLAN de la même manière que sur le WAN...
Je parse à la main toute ma configuration 18.7.9 pour essayer de comprendre ce qu'il y a de différent avec la version 19.X, mais je ne trouve toujours rien. Je ne trouve rien dans mes notes passées sur ce que j'aurais pu manquer (peut être que j'ai pas pris le temps ou bien une config par défaut rend pas le bon résultat).
-
Bonjour,
Pour info je n'arrivais pas à faire fonctionner la TV sur mon décodeur v4. J'arrivais à avoir l'interface, le replay et la VOD fonctionnait mais pas les flux TV.
Après avoir vérifié et revérifié x fois ma config, je ne trouvais pas ce qui allait pas.
Finalement, je me suis décidé à sniffer le trafic. Le problème venait bien de l'option 125.
J'avais calculé la chaine en utilisant le script de la réponse #548 de Roopfuse .
Ma chaine était correcte, sauf qu'il manquait 2 octets en début de chaine : "7d:29"
7d:29:00:00:0d:e9:24:04:06:37:mm:mm:mm:mm:mm:mm:0f:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:06:09:4c:69:76:65:62:6f:78:20:34
J'ai fait la modif sur le service DHCP, et hop ! ça a fonctionné miraculeusement.
Si ça peut aider quelqu'un....
-
En fait le 7D:29 c'est le numéro de l'option (7D = 125) et 29 c'est la longueur de la chaine de caractères tout ça en héxa. Dans la version 18.7 il n'y avait pas besoin de pousser ces options, ce serait même carrément étonnant vu qu'on les précise avant (du moins pour la 125).
Ce matin, en désespoir de cause, j'ai claqué la version 18.7 et j'ai remis mon ancienne configuration. Et là, tout refonctionne. Je suis pas chaud pour retenter la 19... Mais genre pas chaud du tout. Je vais tester sur une version live sur clé USB. Si c'est ça, franchement, ce serait bien couillon. Ce qui est étrange, c'est que de mon côté, en sniffant les requêtes DHCP je retrouve exactement les mêmes choses même sans ajouter le 7D:29
Je suis incapable de naviguer dans le repo github pour voir si il y a eu des changements au niveau de la prise en compte l'option DHCP 125.
Allé je me lance en live USB.
-
Bonjour,
Pour info je n'arrivais pas à faire fonctionner la TV sur mon décodeur v4. J'arrivais à avoir l'interface, le replay et la VOD fonctionnait mais pas les flux TV.
Après avoir vérifié et revérifié x fois ma config, je ne trouvais pas ce qui allait pas.
Finalement, je me suis décidé à sniffer le trafic. Le problème venait bien de l'option 125.
J'avais calculé la chaine en utilisant le script de la réponse #548 de Roopfuse .
Ma chaine était correcte, sauf qu'il manquait 2 octets en début de chaine : "7d:29"
7d:29:00:00:0d:e9:24:04:06:37:mm:mm:mm:mm:mm:mm:0f:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:06:09:4c:69:76:65:62:6f:78:20:34
J'ai fait la modif sur le service DHCP, et hop ! ça a fonctionné miraculeusement.
Si ça peut aider quelqu'un....
Oui ça pourrait aider, mais pourrais tu etre plus explicite (précis) stp?
Dans mes options DHCP j'ai:
Interface WAN (connectée à l'ONT):
DHCP client configuration
Send Options:
dhcp-class-identifier "sagem",
user-class "+FSVDSL_livebox.Internet.softathome.Livebox3",
option-90 00:00:00:00:00:00:00:00:00:00:00:1a:........
Request Options:
subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search, routers,domain-name-servers,option-90,option-15,option-120,option-125
DHCPv6 client configuration
Send Options
ia-pd 0,
raw-option 6 00:0b:00:11:00:17:00:18,
raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:7.....
raw-option 16 00:00:04:0e:00:.....
raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:0.....
Interface VLAN838:
DHCP client configuration
Send Options
dhcp-client-identifier 1:8C:F8:13....
dhcp-class-identifier “sagem”,
user-class “‘FSVDSL_livebox.MLTV.softathome.Livebox3”
Request Options
subnet-mask,routers, ntp-servers, www-server, classless-routes
Si j'ai bien compris, il faut que j'ajoute dans ma configuration DHCP les option-125 et 120? Ce qui donnerait:
Interface WAN (connectée à l'ONT):
DHCP client configuration
Send Options:
dhcp-class-identifier "sagem",
user-class "+FSVDSL_livebox.Internet.softathome.Livebox3",
option-90 00:00:00:00:00:00:00:00:00:00:00:1a:........
option-120 78:2a:00:06:73:62:63:74:33.....
option-125 7d:11:00:00:05:58:0c:01:0......
Les valeurs des deux options sont celles que j'ai sniffées.
Merci d'avance.
-
Non.
Premièrement le VLAN 838 n’est plus nécessaire et sa configuration peut être supprimée.
Deuxièmement l’option 125 est à envoyer au décodeur, pas à Orange... elle n’a donc rien à faire dans la configuration du client DHCP sur l’interface WAN, mais doit être dans la configuration du serveur DHCP sur le port LAN...
L’option 120 c’est pour le téléphone. Même histoire, Orange n’en n’a rien à faire qu’on lui envoie l’adresse de ses propres serveurs SIP.
-
Non.
Premièrement le VLAN 838 n’est plus nécessaire et sa configuration peut être supprimée.
Deuxièmement l’option 125 est à envoyer au décodeur, pas à Orange... elle n’a donc rien à faire dans la configuration du client DHCP sur l’interface WAN, mais doit être dans la configuration du serveur DHCP sur le port LAN...
L’option 120 c’est pour le téléphone. Même histoire, Orange n’en n’a rien à faire qu’on lui envoie l’adresse de ses propres serveurs SIP.
Effectivement, maintenant que tu le dit ça me parait clair, comme quoi même avec l'habitude...
J'ai donc rajouté dans le LANTV DHCP l'option:
Numéro 120
Type text
Valeur: la valeur sniffée..
Mais après test, en fait ca ne marche tourjours pas.
J'ai OCS qui marche sur le programme général, mais aucune chaine ne fonctionne. Ca se contente de basculer en TNT à chaque fois. :(
-
Bonjour,
J'ai donc tout revu en fonction du tuto, point par point. (j'ai laisse le vlan 838, qui même s'il ne sert à rien, n'a donc aucun impact).
j'ai revu la partie DHCP sur le port LAN TV en sniffant tout ce qui se passait avec la livebox et la player pour reproduire les paquets envoyés à l'identique. Et pouratnt ca ne marche toujours pas.
J’obtiens une seule chaine correctement : France Q3, sinon toutes les autres bascules vers la TNT.
Je réussis à avoir aussi Tous les programmes à la demande OCS, mais par contre, aucune des chaines pour lesquelles j'obtiens une erreur L11-11.
de l'aide?
Pour la configuration j'ai supprimer l'option 125 du WAN bien sur.
J'ai ajouté celle-ci dans la partie LAN TV avec:
Option: (125) V-I Vendor-specific Information 7d numero d’option (125)
Length: 41 29 Taille de l’option
Enterprise: The Broadband Forum (3561) 00 00 0d e9 Numero d’entreprise (3561)
Length: 36 24 Taille de l’option
Option 125 Suboption: (4) GatewayManufacturerOUI 04 numero de sous option
Length: 6 06 Taille de l’option
GatewayManufacturerOUI: 8CF813 38 43 46 38 31 33 8c f8 13 ASCII 3 premiers nombre MAC Livebox
Option 125 Suboption: (5) GatewaySerialNumber 05 numéro de sous option
Length: 15 0f Taille de l’option
GatewaySerialNumber: OPS301828002067 4F 50 53 33 30 31 38 32 38 30 30 32 30 36 37 ASCII OPS301828002067
Option 125 Suboption: (6) GatewayProductClass 06 numero de sous option
Length: 9 09 Taille de l’option
GatewayProductClass: Livebox 3 4C 69 76 65 62 6F 78 20 33 ASCII Livebox 3
La question éventuelle, dois-je remplacer la sous-option 4 par la vendor part de l'adresse ethernet de mon opnsense? et dans ce cas dois je prendre l'interface WAN ou LANTV (en toute logique c'est plutot celle de l'interface LANTV) ?
Toute aide est la bienvenue
-
Bonjour à tous
Je dois etre un peu débile mais je n'arrive pas du tout à obtenir d'IPV4 (on ne parle pas dIPV6 que je n'ai pas non plus).
Mon infra:
ESXI 6.7
vswitch classique
VM Opnsense 20.1 (la toute dernière version)
J'ai calculé mon exa avec ca site https://jsfiddle.net/kgersen/45zudr15/embedded/result/ (version short)
J'ai crée un vlan 832 attaché à la pate WAN (dans la VM je donne une pate du switch virtuel connecté en direct sur l'ONT)
J'ai assigné WANOT à ce vlan832
Plus précisement voici ma ligne de connection DHCP
dhcp-class-identifier "sagem", user-class "+FSVDSL_livebox.Internet.softathome.Livebox4", option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2F:00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:37:72:74:33:74:70:33
Ma config en screenshot
Je me retrouve avec DHCP4 UP
la passerelle
un peu de traffic
MAIS pas d'IP
Merci pour votre aide :)
-
J'ai assigné WANOT à ce vlan832
Plus précisement voici ma ligne de connection DHCP
dhcp-class-identifier "sagem", user-class "+FSVDSL_livebox.Internet.softathome.Livebox4", option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2F:00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:37:72:74:33:74:70:33
Personnellement, j'ai sniffé la connexion de la livebox pour être sur du contenu de l'option, que j'ai répliquée sur l'équipement. Vérifie aussi comme ça au passage la partie DHCPv6.
Ce qui te permet aussi de vérifier comme ça toutes les options afin d'être sur.
Assure toi bien que c'est Livebox4, car dans mon cas, j'ai Livebox4 écrit sur le boitier, mais dans les options c'est Livebox3.
Avec en request option:
subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search, routers,domain-name-servers,option-90,option-15,option-120,option-125
Et sans oublier les modificaeurs d'options:
vlan-parent "igb0",vlan-id 832, vlan-pcp 6
igb0 est le nom de mon interface utilisé pour le WAN
-
Bon
j'ai repris a zero
J'ai assigné une carte broadcom directement à la VM
C'est le bge0.
J'ai refais le VLAN
bge0 832 0 Orange FTTP Vlan
J'ai refais le meme truc que précedement dans ma capture.
J'ai ajouté les éléments que tu m'as donnée: vlan-parent "bge0",vlan-id 832, vlan-pcp 6
Marche pas
Avec livebox info je récupere ça en terme de "sniffing"
DONNEES DHCP V4
dhcpstatus : Bound
IPRouters : 90.xxxxxxxxx
DHCPServer : 80.xxxxxxxxx
LeaseTime : 259200 = 72h 00min 00sec
LeaseTimeRemaining : 259143 = 71h 59min 03sec
DSCPMark : 48
PriorityMark : 6
CheckAuthentication : True
AuthenticationInformation: dhcpliveboxfr250
ResetOnPhysDownTimeout : 20
SentOption : 60,61,77,90
SentOption 60 : 736167656d
SentOption 61 : 01289EFC965710
SentOption 77 : 2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834
SentOption 90 : 00000000000000000000001a0900000558010341010d6674692f377274337470333c122738733d7871606349356e7949366e5a03136bb0691c88ec90485d36a244872b0bxxx
ReqOption : 1,3,6,15,28,51,58,59,90,119,120,125
DONNEES DHCP V6
dhcpstatus : Bound
DUID : 00030001289efc965710
CheckAuthentication : True
AuthenticationInfo : dhcpliveboxfr250
ResetOnPhysDownTimeout : 20
SentOption : 11,15,16,17
SentOption 11 : 00000000000000000000001a0900000558010341010d6674692f377274337470333c12555d61287136662f45336b556360226a03136c7244bd072c9109afe5f446e2bb36xxxx
SentOption 15 : 002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e6c697665626f7834
SentOption 16 : 0000040e0005736167656d
SentOption 17 : 000005580006000e495056365f524551554553544544
ReceivedOption : 25,11,2,1
Merci pour votre aide :)
-
Alors
ouf
Apres un reboot de l'ONT, j'ai une ipv4 et tout fonctionne.
En IPV6 par contre pas encore ça.
J'ai bien une ipv6 de ma classe d'IP sur le LAN
Visiblement pas de gateway ? (mais ca doit etre normal)
Pas de DHCPv6 opensense ni de Router Advertisement (normal pas coché la case dans LAN)
Sur Windows j'ai ça:
Adresse IPv6. . . . . . . . . . . . . .: 2a01:cb00:4f4:d910:85aa:76cf:341c:f20e
Adresse IPv6 temporaire . . . . . . . .: 2a01:cb00:4f4:d910:642e:2587:d014:b8d
Adresse IPv6 temporaire . . . . . . . .: 2a01:cb00:a09:1600:642e:2587:d014:b8d
Adresse IPv6. . . . . . . . . . . . . .: 2a01:cb00:a09:1600:85aa:76cf:341c:f20e (correspond bien à la classe IP de l'ONT)
Adresse IPv6 de liaison locale. . . . .: fe80::85aa:76cf:341c:f20e%8
Adresse IPv4. . . . . . . . . . . . . .: 192.168.0.62
Masque de sous-réseau. . . . . . . . . : 255.255.255.0
Passerelle par défaut. . . . . . . . . : fe80::250:56ff:feb2:d3f9%8
fe80::1:1%8
fe80::250:56ff:feb2:68ff%8
fe80::250:56ff:feb2:1c24%8
192.168.0.2
Et evidemment pas de connectivité IPV6 internet (je peux pinger l'IPV6 du LAN, encore plus fort la resolution DNS se fait. Directement dans le shell d'opnsense, un ping6 ipv6.google.com n'aboutit pas.
Encore merci pour l'aide :)
-
Bonjour à toutes et à tous,
J'ai fait quelques tests avec openwrt puis j'ai décidé à me mettre à opnsense.
Je me suis lancé dans l'intégration d'un router à base d'un client léger HP thin Client T610, 8Go de Ram, SSD 60 Go, carte ethernet 4 ports giga.
J'ai installé la version 20.1 Opnsense dans un premier temps. J'ai parcouru les forums et j'ai testé plein de combinaisons pour mettre au point la configuration.
Mais voilà rien ne fonctionne, pas d'IP sur l'interface WAN.
Petit historique :
Un commercial de Orange, nous à fait évolué dans le quartier d'un contrat Livebox play, vers un nouveau contrat Livebox play (3) en résiliant l'ancien pour repartir sur une offre équivalente. il semble déjà que Orange ne permette pas ce type de "fraude". Dans le quartier nous avons eu pas mal de soucis avec ce passage. Certain ont perdu la portabilité des téléphones fixe, d'autres ont eu la surprise de voir des frais de résiliation, alors que le commercial avait promis un passage sans frais de orange vers orange.
Passons sur ce mystère du commerce ...
Voulant échapper au router Orange (loopback, gestion de ports, adresse ip publique mouvante ...), je décide donc de me mettre autonome de cette livebox.
J'aurai besoin de quelques préalables :
Opnsense version 19.1 19.7 ou 20.1
J'ai essuyé quelques difficultés avec mon client léger et EFI / ACPI, je suis maintenant en MBR sans EFI avec ACPI. c'est surement perfectible.
La version VGA ou NANO fonctionnent l'une et l'autre dans ce mode 32 bits compatible.
DHCP V4
Les paramètrages de l'option 90 avec mac address ou pas, fti/xxxx et mot de passe ou pas ...
DHCP V6 idem.
Où aller chercher les log dans l'interface GUI ?
J'ai un peu tout testé et je suis un peu perdu.
Je vous délivre mon fichier texte des options DHCP V4 et DHCP V6 ici pas de password (j'ai fait l'essai avec et sans)
et pas non plus de RND Salt et RND Bytes que je ne sais pas aller chercher
DHCP V4
dhcp-class-identifier 1:44:a6:1e:33:6f:07,dhcp-class-identifier “sagem”,user-class “+FSVDSL_livebox.Internet.softathome.Livebox3”,option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0D:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx
subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search,routers,domain-name-servers,option-90
DHCP V6
ia-pd 0,raw-option 6 00:0b:00:11:00:17:00:18,raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33,raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d,raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0D:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx
-
Je me réponds à moi même :
J'ai trouvé ou rechercher les logs des DHCP V4 et V6
https://docs.opnsense.org/manual/logging_services.html
ça ne règle pas pour autant mes autres questionnements...
J'aurai vraiment besoin d'un bonne synthèse de tout ça en dehors des paramètres de base qui sont bons Port affectation vlan WAN LAN Bridge, etc.
-
Nouvelle réponse à moi même :
J'ai mis mon routeur OPNSense dans un sous réseau LAN avec un autre plan d'adressage (192.168.0.1), une patte WAN (em0) sur mon réseau LAN et l'autre em1 qui représentera mon futur LAN sur mon PC en Ethernet. J'ai pu faire mes mises à jour et constaté que mon routeur fonctionne bien.
Ensuie, j'ai deconnecté ma livebox du réseau, mise hors tension, puis j'ai réalisé un petit pont avec un switch, connecté ma livebox, un mac en Ethernet, mon ONT.
J'ai lancé WIRESHARK et allumé la livebox et l'ONT.
J'ai cherché un peu plus et avec le post sur le reverse ingenieuring et les diverses informations glanées sur les forums j'ai donc réussi à faire ma capture avec WIRESHARK.
La chaine de l'option 90 est capturée et reportée dans la partie WAN / DHCP V4 de l'interface GUI de OPNSense.
Par comparaison avec les informations je pense que cette fois j'ai la bonne chaine, pour SALT et Byte, je ne sais pas si ces deux chaines qui apparemment changent à chaque connection, ne vont pas me poser un problème, je verrai bien à l'essai.
Reste à voir maintenant la configuration DHCP V6.
-
Réponse encore à moi même :
Essai avec report des paramètres de WIRESHARK.
Bilan ça ne marche pas mais je vois une erreur dans ma configuration, je n'ai pas assigné le VLAN 832 au port WAN sur em0.
Essai again pour voir ...
Reste que je vois ce qui passe sur WIRESHARK et je sens que les requests et send sont légèrement différents de ce TUTO.
Orange aurait-il encore fait évoluer l'OPTION 90 ? pour DHCP V4 de la livebox play ?.
Voici mes éléments, si un lecteur chevronné pouvait jeter un coup d'oeil sur la section DHCP V4 et me dire où je me plante, d'avance merci.
J'ai volontairement fait des retours à la ligne pour simplifier l'affichage de l'authentification qui n'est bien sûr que sur une seul ligne dans le paramètrage.
J'ai l'impression qu'il manque l'adresse mac de 'linterface WAN mais je ne sais pas où la mettre.
Je n'ai pas activé le DHCP V6 pour l'instant pour aller pas à pas.
-
Bonjour,
Cela fait quelques semaines que je parcours les posts de ce forum afin de remplacer ma Livebox4 ADSL par OPNsense 20.1-amd64. Et je n'arrive pas à obtenir une IP sur le WAN...
J'utilise un Planet VC-231G pour la conversion ADSL/Ethernet. D'après la doc et la LED, le lien ADSL semble bien monté.
Je me suis servi des informations disponibles en JSON depuis l'interface de gestion de la Livebox pour déterminer les paramètres DHCP à utiliser. Dans les sections "SentOption" et "ReqOption".
J'ai aussi forcé l'adresse MAC de l'interface WAN pour mimer celle utilisée par la LB4. Mais avec ou sans cette option, ça ne semble rien changer. Je n'obtiens aucune réponse DHCP sur l'interface. D'après tcpdump, je ne reçois même rien du tout.
En forçant le PCP au niveau du VLAN ou pas (0 ou 6), cela ne change rien non plus.
Avant de laisser tomber définitivement en attendant l'arrivée de la Fibre, je dépose ma conf ici.
Si quelqu'un à une idée, je suis preneur :)
Merci.
ifconfig -a
(...)
ue0: flags=8943<UP,BROADCAST,RUNNING,PROMISC,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=80008<VLAN_MTU,LINKSTATE>
(...)
status: active
ue0_vlan832: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=80000<LINKSTATE>
(...)
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
vlan: 832 vlanpcp: 6 parent interface: ue0
groups: vlan
# cat /var/etc/dhclient_wan.conf
interface "ue0_vlan832" {
# DHCP Protocol Timing Values
# DHCP Protocol Options
send dhcp-class-identifier "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox4";
send option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;
request subnet-mask, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, routers, domain-name-servers, option-90;
vlan-parent "ue0";
vlan-id 832;
vlan-pcp 6;
script "/usr/local/opnsense/scripts/interfaces/dhclient-script";
supersede interface-mtu 0;
}
-
Avez-vous réussi à avoir une IPv6 avec OPNsense ? si oui avec qu'elle configuration
En suivant la configuration sur le site de OPNsense dans les log general j'ai :
-
Mon soucis était que le VLAN 832 était en Best effort, je l'ai mis en 6 et la j'ai obtenu directement un prefix IPv6
-
Hello à tous,
J'ai écumé pas mal de topic sur ce forum et j'en suis arrivé ici. Mon but: simplifier mon réseau et avoir un pare-feu, routeur de meilleur qualité que celui de la livebox V3....
De ce que j'ai compris l'idéal un NETGEAR (GS716Tv3). Ce qui permettrait de supprimer le routeur basique et l'ONT.
J'hésitais à faire une VM sous PFsense et dans un premier temps je vais tester Opnsense serait installé sur un VM de mon futur serveur UNRAID.
Question hardware le site indique
De ce que je comprend il faudrait un multi-core mini quand on a du 1gb mais combien exactement ? idem pour la RAM ?
=> je comptais attribuer 2 coeurs (d'un E5 2697-V2) et 4Go de RAM pour la VM et un minimum de 120go d'espace disque.
Est-ce suffisant ?
Cela donnerait quelques chose dans ce genre (voir image réseau).
Pour le moment je n'en suis qu'à la phase de préparation et potentiellement d'achat de matériel.
Qu'en pensez-vous ? Y aurait-il des choses à changer niveau hardware ou à repenser?
Merci d'avance de vos conseils.
-
Bonjour,
tu as une livebox V3 avec un ONT externe ?
Si c'est.bien çà tu ne peux pas te connecter sur le port SFP du Netgear ... à la sortie de ton ONT tu es en RJ45..
-
Accessoirement le VLAN 838 n’est plus utilisé par Orange et le VLAN 840 ne doit pas arriver jusqu’au décodeur. Le VLAN 840 est coté WAN uniquement et la LB (ou le routeur qui la remplace) doit diffuser le flux TV coté LAN hors de tout VLAN.
-
Bonjour,
tu as une livebox V3 avec un ONT externe ?
Si c'est.bien çà tu ne peux pas te connecter sur le port SFP du Netgear ... à la sortie de ton ONT tu es en RJ45..
Hello,
Oui j'ai un ONT externe. Par contre, il ne semblait avoir lu que c'était possible en prenant un adaptateur SFP Sercomm FGS202..et en regardant ce n'est compatible qu'avec la V4....chiotte !!!
Accessoirement le VLAN 838 n’est plus utilisé par Orange et le VLAN 840 ne doit pas arriver jusqu’au décodeur. Le VLAN 840 est coté WAN uniquement et la LB (ou le routeur qui la remplace) doit diffuser le flux TV coté LAN hors de tout VLAN.
Je me suis basé sur le poste en page 1 :P Je ne savais pas qu'il y avait eu ces évolutions...je note. merci :)
A ce moment quels sont les VLAN qui sont à jours et utilisés ?
-
Hello,
Oui j'ai un ONT externe. Par contre, il ne semblait avoir lu que c'était possible en prenant un adaptateur SFP Sercomm FGS202..
Tu le prends où l'adaptateur ?
Orange ne t'en fournira pas un avec une livebox 3 ...
-
Sur ebay et autre il y en a de disponible mais visiblement cela ne fonctionne pas avec la livebox V3. En résumé, je supprime le GS716Tv3 pour prendre le GS108T ou un TP-Link TL-SG108PE en gardant le boitier ONT Huawei.
-
Il faut que le serial de l'adaptateur soit autorisé sur l'OLT auquel tu es raccordé...
Donc autant dire qu'avec Ebay, ça risque de ne pas marcher...
-
Il faut que le serial de l'adaptateur soit autorisé sur l'OLT auquel tu es raccordé...
Donc autant dire qu'avec Ebay, ça risque de ne pas marcher...
Je me demande encore pourquoi Orange bride autant...que le lambda s'en foute OK mais bon qu'il laisse la porte ouverte aux autres!! :P
Bon bah je vais faire l'autre solution en gardant l'ONT ce n'est pas grave...ça fonctionnera pareil avec un module en plus.
Merci de tes réponses. :)
-
Sachant qu’en gpon en faisant n’importe quoi on peut faire tomber 64 clients, orange sécurisé son réseau, c’est tout...
-
@Beufemi si tu souhaites acquérir l'ONT SFP, je te recommande de passer sur une offre LB4. Même si on arrive à faire fonctionner nos routeurs alternatifs aujourd'hui, Orange peut très bien récupérer la main sur le paramétrage et nous imposer la LB.
-
Bonjour à tous, je suis nouveau sur le forum.
Comme tout le monde ici, j'aimerai me passer de la livebox au profit d'un routeur sous opnsense. J'ai parcouru tout le topic. J'ai suivi à la lettre la Doc "officiel" (sauf pour les options 90 et 11).
J'ai réussi à avoir une ipv4, en revanche pour l'ipv6 j'aurais bien besoin d'aide s'il vous plaît.
Je ne comprends pas où ça bloque. Voici des screens, pourriez-vous m'indiquer mon erreur ?
J'ai essayé de passer le vlan 832 en prio 6. l'option 11 provient d'une capture wireshark.
Voici ce que j'ai dans le champs send options du dhcpv6:
ia-pd 0,
raw-option 6 00:0b:00:11:00:17:00:18,
raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:34,
raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d,
raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:II:II:II:II:II:II:II:3c:12:75:35:65:34:35:7a:75:2a:27:30:75:4d:6d:5e:32:43:03:13:44:dd:6c:85:dc:02:c3:11:c5:ee:62:ad:47:97:ab:26:13
il y a des II à la place de mon identifiant fti.
-
Bonjour à tous, je suis nouveau sur le forum.
Comme tout le monde ici, j'aimerai me passer de la livebox au profit d'un routeur sous opnsense. J'ai parcouru tout le topic. J'ai suivi à la lettre la Doc "officiel" (sauf pour les options 90 et 11).
J'ai réussi à avoir une ipv4, en revanche pour l'ipv6 j'aurais bien besoin d'aide s'il vous plaît.
Je ne comprends pas où ça bloque. Voici des screens, pourriez-vous m'indiquer mon erreur ?
J'ai essayé de passer le vlan 832 en prio 6. l'option 11 provient d'une capture wireshark.
Voici ce que j'ai dans le champs send options du dhcpv6:
ia-pd 0,
raw-option 6 00:0b:00:11:00:17:00:18,
raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:34,
raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d,
raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:II:II:II:II:II:II:II:3c:12:75:35:65:34:35:7a:75:2a:27:30:75:4d:6d:5e:32:43:03:13:44:dd:6c:85:dc:02:c3:11:c5:ee:62:ad:47:97:ab:26:13
il y a des II à la place de mon identifiant fti.
problème reglé, j'ai reglé l'heure et changé ces paramètres, je n'explique pas trop comment ça marche mais tant mieux
-
NathanKr, je suis un peu perdu.
J'essaie de remplacer ma livebox par opnsense mais j'obtiens une IP invalide (0.0.0.0)
Et dans ta capture d'écran je vois des infos dans le champs "indentificateur DHCP unique", d'où vient cette info ?
-
Bonsoir, meepmeep
si tu as besoin d'aide je peux essayer de t'en fournir, je suis à fond dans opnsense depuis 1 semaine, j'ai enfin réussi. Pour ton problème si tu as tout les bons paramètres, essaye de redémarrer l'ont. Sinon il nous faudrait des captures pour mieux t'aider.
je ne sais pas à quoi sert le duid, apparemment c'est un identifiant pour le dhcpv6. je ne pense pas que c'est ce qui a résolu mon problème. Dans tous les cas j'avais une ipv4 sans.
-
Bonjour tout le monde.
Ayant fait le pas sur le remplacement de la livebox par un pfSense, et en train de chercher depuis 2 semaines pourquoi le flux TV ne fonctionne pas (alors que tout le reste fonctionne parfaitement), je me suis dis que le souci venait de chez pfSense, j'ai donc fait une fresh install d'OPNsense.
Bon, de base, je trouve l'interface moins user-friendly, mais ce n'est qu'un détail;
Par contre, je sens que les soucis rencontrés sous pfSense sont les mêmes sous OPNsense : pas de flux TV, par contre, le replay fonctionne, j'ai l'heure, les infos de chaine, etc.
Je me rends compte en lisant quelques pages en arrière que le souci était deja présent début 2020, et j'ai l'impression qu'Orange a modifié quelque chose, ce qui fait que ça ne fonctionne plus trop.
Je veux bien aider que ce soit pour l'un ou l'autre mais je ne sais pas comment "sniffer" les informations fournis par la livebox au décodeur, si quelqu'un veut bien m'expliquer, je suis prêt à aider du mieux que je peux pour faire avancer le schmilblick.
Cordialement,
DinDon
-
Bonjour DinDon,
Le principe est simple, la mise en oeuvre est un peu plus complexe et longue selon les connaissances de la personne qui s'y colle...
Alors je vais énoncer le principe comme je l'ai vécu.
il te suffit de sniffer ce qui sort de la livebox ainsi que la communication entre le boitier tv et la livebox.
Pour ça le plus simple est de mettre un PC avec un wireshark entre les deux (eth) et d'analyser le flux, comment elle s'identifie, quelles options elle envoi au serveur, comment sont construites les chaines HEXA que tu vas sniffer, comment se fait la com entre la livebox et le boitier UHD ...
Ensuite tu épluche le forum pendant une bonne semaine, pour comprendre comment configurer opnsense correctement pour le faire "parler" comme une livebox, isoler la box en DMZ, rediriger le flux video, intégrer tout ca dans ton réseau "maison" (NAS, mediacenter, services divers...)
Certains anciens posts ne sont plus tout à fait bon et tu te rend compte 5 pages de fofo plus tard qu'il y a une toute petite coquille qui t'as fait perdre 2 jours, tu modifi un petit script trouvé à droite, tu changes une chaine copié bêtement sur le fofo par quelque chose de cohérent parceque tu viens de comprendre comment ca marche ...
Le tout c'est de s'y coller et de pas lacher l'affaire, un geek arrive toujours a ses fins :)
-
Salut,
je suis comme toi : je tente de remplacer ma livebox 3, mais sans succès après avoir appliqué le tuto officiel : pas d'ipv4 ni d'ipv6.
Savez-vous où on peut trouver un tuto ou les configs de paramétrage mise à jour ?
NathanKr, je suis un peu perdu.
J'essaie de remplacer ma livebox par opnsense mais j'obtiens une IP invalide (0.0.0.0)
Et dans ta capture d'écran je vois des infos dans le champs "indentificateur DHCP unique", d'où vient cette info ?
-
Bonjour tout le monde,
Au final, j'ai répondu à mes propres soucis en désactivant la case de blocage des bogons dans l'interface de l'ONT.
@frescom06 : J'ai suivi le tuto officiel sur le site d'OPNsense et j'ai réussi, si tu ne récupères pas d'IP valide, il faut que tu vérifies tout ton paramétrage.
Pour info, pour remonter le fichier hexa en fonction de ton FTI, j'ai du monter une VM Ubuntu temporairement afin de créer le fichier SH et le remonter.
Tout a fonctionné parfaitement par la suite, mais j'ai du m'y reprendre à plusieurs fois avant d'y arriver et d'avoir enfin une IP.
-
Salut @ tous,
j'ai déménager récemment et ai donc changé de région, j'en ai donc profité pour mettre a jour mon OPNsense de 19.7 à 20.7, ma config internet fonctionne sans problème IPV4+IPV6, par contre impossible de faire fonctionner le téléphone. Il manque quelque chose a ma configuration,mais je ne vois pas quoi.
Si je réinstalle OPNsense 19.7 et que je charge mon ancienne configuration, tout fonctionne parfaitement, par contre en passant sous 20.7 et en configurant de la même facon, le téléphone ne passe pas.
Pour rappel, j'ai mis ma livebox dans une DMZ sur mon LAN2.
Je me pose la question sur cette partie de la configuration :
Config actuelle :
<opt1>
<enable>1</enable>
<staticarp>1</staticarp>
<defaultleasetime>86400</defaultleasetime>
<gateway>192.168.1.254</gateway>
<domain>orange.fr</domain>
<domainsearchlist>BOD.access.orange-multimedia.net</domainsearchlist>
<ddnsdomainalgorithm>hmac-md5</ddnsdomainalgorithm>
<numberoptions>
<item>
<number>90</number>
<type>string</type>
<value>00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30</value>
</item>
<item>
<number>120</number>
<type>string</type>
<value>73:62:63:74:33:67:2e:42:4f:44:2e:61:63:63:65:73:73:2e:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:2e:6e:65:74</value>
</item>
<item>
<number>125</number>
<type>string</type>
<value>00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff</value>
</item>
</numberoptions>
<range>
<from>192.168.1.100</from>
<to>192.168.1.200</to>
</range>
<winsserver/>
<dnsserver>80.10.246.2</dnsserver>
<dnsserver>80.10.246.129</dnsserver>
<ntpserver>192.168.100.254</ntpserver>
<staticmap>
<mac>XX:XX:XX:XX:XX:XX</mac>
<cid>Livebox</cid>
<ipaddr>192.168.1.1</ipaddr>
<hostname>Livebox</hostname>
<descr>Livebox Orange</descr>
<gateway>192.168.1.254</gateway>
<winsserver/>
<dnsserver/>
<ntpserver/>
</staticmap>
</opt1>
Config ancienne :
<opt1>
<enable>1</enable>
<defaultleasetime>86400</defaultleasetime>
<gateway>192.168.1.254</gateway>
<domain>orange.fr</domain>
<domainsearchlist>BOD.access.orange-multimedia.net</domainsearchlist>
<ddnsdomainalgorithm>hmac-md5</ddnsdomainalgorithm>
<numberoptions>
<item>
<number>90</number>
<type>string</type>
<value>00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30</value>
</item>
<item>
<number>120</number>
<type>string</type>
<value>73:62:63:74:33:67:2e:42:4f:44:2e:61:63:63:65:73:73:2e:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:2e:6e:65:74</value>
</item>
<item>
<number>125</number>
<type>string</type>
<value>00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff</value>
</item>
</numberoptions>
<range>
<from>192.168.1.100</from>
<to>192.168.1.199</to>
</range>
<winsserver/>
<dnsserver>80.10.246.132</dnsserver>
<dnsserver>81.253.149.2</dnsserver>
<ntpserver>192.168.100.254</ntpserver>
<staticmap>
<mac>XX:XX:XX:XX:XX:XX</mac>
<cid>Livebox</cid>
<ipaddr>192.168.1.1</ipaddr>
<hostname>Livebox</hostname>
<descr>Livebox Orange</descr>
<gateway>192.168.1.254</gateway>
<winsserver/>
<dnsserver/>
<ntpserver/>
</staticmap>
</opt1>
Dois je changer le domainsearch maintenant que je suis autour de Mulhouse, comment trouver ce domainsearch ?
J'ai changé les DNS par rapport a ceux qui était dans ma livebox, après l'avoir rebranché ici sur Mulhouse.
Si quelqu'un a une idée, je suis preneur.
Merci.
-
Clairement utiliser les serveur téléphonie de Bordeaux à Mulhouse n'est pas franchement la meilleure des idées, même si ça ne devrait pas empêcher la téléphonie de fonctionner. D'ailleurs la preuve, ça fonctionne avec OPNsense 19.7.
Maintenant je suis surpris par le "BOD" parce que les DNS d'Orange ne résolvent pas "sbct3g.BOD.access.orange-multimedia.net". Par contre "sbct3g.BOR.access.orange-multimedia.net" oui. Et du coup pour Mulhouse à priori ça pourrait être Strasbourg (donc STR à la place de BOR).
Accessoirement, il faudra aussi changer l'option 120 (même si en théorie elle a été remplacée par le domain search).
-
Clairement utiliser les serveur téléphonie de Bordeaux à Mulhouse n'est pas franchement la meilleure des idées, même si ça ne devrait pas empêcher la téléphonie de fonctionner. D'ailleurs la preuve, ça fonctionne avec OPNsense 19.7.
Maintenant je suis surpris par le "BOD" parce que les DNS d'Orange ne résolvent pas "sbct3g.BOD.access.orange-multimedia.net". Par contre "sbct3g.BOR.access.orange-multimedia.net" oui. Et du coup pour Mulhouse à priori ça pourrait être Strasbourg (donc STR à la place de BOR).
Accessoirement, il faudra aussi changer l'option 120 (même si en théorie elle a été remplacée par le domain search).
Merci ZOC pour les info.
Alors j'ai résolu mon problème, en recupérant la configuration DHCP et Firewall de mon ancien fichier de config de 19.7, c'était donc bien un problème de config toute bête. Je vais changer le domainsearch avec STR, et l'option 120 en fonction.
-
Bonjour, j'ai essayé les instructions et je suis perdu, j'obtiens le WAN sur 0.0.0.0 avec la nouvelle méthode pour l'option-90. Avant de vérifier l'opnsense, je voudrais vérifier : j'utilise un TX-6610 ONT. J'ai changé le numéro de série avec succès et il est "enregistré O5" sur l'ONT. Ma question porte sur l'option de marquage VLAN ultérieure. Est-ce que j'utilise le mode transparent ou le tag avec le vlan 832 ?
Les choix disponibles sont attachee.
Dans tous les cas, le trafic PON sur l'ONT est de zéro paquet, c'est pourquoi je pense que ma configuration ONT est peut-être erronée.
Je vais devoir télécharger mon fichier de configuration opnsense et le poster pour plus de dépannage.
Merci à tous.
-
Transparent me parait le plus approprié puisqu’il y a plusieurs VLAN en pratique et qu’ils arrivent jusqu’à la livebox...
-
Bonjour,
Abonné Orange Pro avec l'option IP Fixe depuis plusieurs années, j'étais en PPPOE sans LiveBox et un OpnSense. Hier j'ai franchi le pas et j'ai basculé en DHCP. Tout fonctionne parfaitement, j'ai récupéré mon IP Fixe par le DHCP et j'ai pu avoir l'IPv6 également. J'ai testé avec VLAN-PCP ne sachant pas si c'est requis mais visiblement il ne fallait pas (Région Lilloise). Pour l'option 90, j'ai utilisé le script bash.
Finalement le plus long c'est plutôt de faire ensuite fonctionner l'IPV6 sur mon réseau local et de comprendre ;-)
J'ai aussi des PFSENSE derriere des lignes Orange, il faudra que je teste.
Guldil
-
Bonjour à tous, merci pour tous les conseils fournis ici, j'ai du succès avec ipv4, ipv6 et IPTV! J'ai remplacé une Livebox 5 + UHDTV par une TP-Link TX-6610 ONT et une boite Qotom.
Comme indiqué sur un autre sujet (https://lafibre.info/orange-installation/livebox-5-ont-integre-a-suivre-sous-openwrt/ (https://lafibre.info/orange-installation/livebox-5-ont-integre-a-suivre-sous-openwrt/)), la vitesse est limitée avec TX-6610 à 700/550.
La prochaine étape consiste à voir si le fallback de pppoe est possible, et peut-être à acheter un Ufiber Nano G l'année prochaine (pour 950/600). Mais pour une personne dans l'appartement, 700 Mbps suffisent.
Merci merci merci!
(https://www.speedtest.net/result/10514293383.png)
-
Bonsoir à vous,
J'ai une question. J'ai reçu ma livebox depuis quelque jours, j'ai eu ma bascule vers sosh. j'ai voulu virer la livebox. bon jusque la tout va bien ..
Mais j'ai un soucis, je suis en 300/300. La config pour avoir le DHCP d'orange ne marche pas du tout pour l'ipv4 . En revanche l'ipV6 je l'ai correctement ..
J'ai mis en PPPOE le temps d'avoir plus d'info/test pour passer sur le DHCP. Mais dans un sens je ne sais pas si c'est génant ou pas de rester sur le PPPOE ou non ?!
Mon test de débit est correct ou j'arrive au 300/300 ..
Je n'ai n'y besoin de la Tv ni du Tel.
Pour info aussi, j'ai mon SFP d'orange direct dans mon switch GS724T V3 sans Cos ou autre ( j'ai pu voir pas mal de tuto etc ) et ensuite fini en RJ45 vers mon Opnsense
Du coup si quelqu'un sais me dire si le DHCP est bien valide pour les connections Sosh en 300/300 je suis prenneur et si il y une conf spécial ou je ne sais quoi ..
Merci à vous :)
-
Il n’y a pas de config DHCP spécifique pour Sosh en IPv4. Tu as sûrement une coquille quelque part dans ta config. Ou alors la CoS est obligatoire en IPv4 mais pas en IPv6, ce qui serait étonnant...
-
Il n’y a pas de config DHCP spécifique pour Sosh en IPv4. Tu as sûrement une coquille quelque part dans ta config. Ou alors la CoS est obligatoire en IPv4 mais pas en IPv6, ce qui serait étonnant...
C'est ce que je me disais niveau config, tu confirme ma pensé. Aprés je pensais aussi me prendre un mikrotik genre : RB3011UiAS-RM compatible avec le SFP d'orange du coup je n'aurais pas le switch en intermédiaire.
aprés niveau config j'ai repris les standards vu par ici. avec la nouvelle clé en Hexa mais juste avec le fti/ j'ai pas essayer avec le mot de passe inclu
-
Bonjour :),
Je viens de me lancer dans la configurer d'OPNSense version 20.7 afin de remplacer un autre router.
J'ai essayé de suivre vos différentes procédures mais hélas, je n'obtiens pas d'adresse IPv4 :'( :'( :'(.
Pour l'instant je n'ai ps besoin d'IPV6.
Si une personne pouvais m'expliquer ou je me suis trompé, ce serait super sympa svp :).
Voici ma config :
Device :
Igb0_vlan832
IPv4 Configuration Type :
DHCP
IPv6 Configuration Type :
None
Configuration Mode :
None
Override MTU :
Cocher
Send Options :
dhcp-class-identifier "sagem",user-class "+FSVDSL_livebox.Internet.softathome.Livebox4",option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2F:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY
• XX = Identifiant
• YY = Mot de passe
La génération de l’identifiant et du mot de passe seraient correctes, vu qu’ils fonctionnent sur un router Mikrotik.
Request Options :
subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search,routers,domain-name-servers,option-90
• Testé en ajoutant « option-15,option-120,option-125 » et même réultat
Option modifiers :
vlan-parent "igb0",vlan-id 832,vlan-pcp 6
Merci d’avance de votre aide :).
Kirky
-
Bonjour :),
Je viens de me lancer dans la configurer d'OPNSense version 20.7 afin de remplacer un autre router.
J'ai essayé de suivre vos différentes procédures mais hélas, je n'obtiens pas d'adresse IPv4 :'( :'( :'(.
Pour l'instant je n'ai ps besoin d'IPV6.
Si une personne pouvais m'expliquer ou je me suis trompé, ce serait super sympa svp :).
Voici ma config :
Device :
Igb0_vlan832
IPv4 Configuration Type :
DHCP
IPv6 Configuration Type :
None
Configuration Mode :
None
Override MTU :
Cocher
Send Options :
dhcp-class-identifier "sagem",user-class "+FSVDSL_livebox.Internet.softathome.Livebox4",option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2F:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY:YY
• XX = Identifiant
• YY = Mot de passe
La génération de l’identifiant et du mot de passe seraient correctes, vu qu’ils fonctionnent sur un router Mikrotik.
Request Options :
subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search,routers,domain-name-servers,option-90
• Testé en ajoutant « option-15,option-120,option-125 » et même réultat
Option modifiers :
vlan-parent "igb0",vlan-id 832,vlan-pcp 6
Merci d’avance de votre aide :).
Kirky
Tu devrais essayer sans vlan-pcp 6 pas de prio. Essaie aussi en PPPOE avec le vlan835 pour voir si tu arrive bien à avoir le net au moins.
Perso je n'ai pas reussi à avoir une connection correct avec mon opnsense du coup j'ai migré sur un hex s et la tout fonctionne. je sais que j'avais des test concluant sur les version antérieur à la 20 de opnsense et la j'ai tester beaucoup de config et à chaque fois je devais revenir en PPPOE car pas moyen d'avoir un ip ou autre en DHCP, en revanche en ipv6 j'avai une ip ..
bon courage !
-
Tu devrais essayer sans vlan-pcp 6 pas de prio. Essaie aussi en PPPOE avec le vlan835 pour voir si tu arrive bien à avoir le net au moins.
Perso je n'ai pas reussi à avoir une connection correct avec mon opnsense du coup j'ai migré sur un hex s et la tout fonctionne. je sais que j'avais des test concluant sur les version antérieur à la 20 de opnsense et la j'ai tester beaucoup de config et à chaque fois je devais revenir en PPPOE car pas moyen d'avoir un ip ou autre en DHCP, en revanche en ipv6 j'avai une ip ..
bon courage !
Bonsoir :)
Merci de ta réponse mais sans succès pour le DHCP. Par contre en PPOE, cela fonctionne.
Quand je regarde les logs, j'ai le message "2021-01-19T20:43:34 dhclient[56560]: DHCPDISCOVER on igb0_vlan832 to 255.255.255.255 port 67 interval 7".
Je me permets de joindre les screenshots de la configuration au cas ou ...
Penses tu que mes options sont bonnes et bien écrites ?
Car sur certains exemples, après la virgules, il y a un espace et d'autres pas.
J'ajoute que j'ai essayé pour options modifiers : vlan-parent "igb0",vlan-id 832
A bientôt,
Kirky
-
Bonsoir :)
Merci de ta réponse mais sans succès pour le DHCP. Par contre en PPOE, cela fonctionne.
Quand je regarde les logs, j'ai le message "2021-01-19T20:43:34 dhclient[56560]: DHCPDISCOVER on igb0_vlan832 to 255.255.255.255 port 67 interval 7".
Je me permets de joindre les screenshots de la configuration au cas ou ...
Penses tu que mes options sont bonnes et bien écrites ?
Car sur certains exemples, après la virgules, il y a un espace et d'autres pas.
J'ajoute que j'ai essayé pour options modifiers : vlan-parent "igb0",vlan-id 832
A bientôt,
Kirky
Je ne serais pas trop te dire pour les options car j'ai tester tellement de config que j'ai plus ce qui marcher à l'époque ..
Je me rappel que j'avais virer le vlan-parent "igb0",vlan-id 832.
il faut un espace aprés la virgule de mémoire.
aprés il y a pas mal de tuto ici ou sur le net mais mefie toi juste de l'option 90 qui change selon les tutos
-
Je ne serais pas trop te dire pour les options car j'ai tester tellement de config que j'ai plus ce qui marcher à l'époque ..
Je me rappel que j'avais virer le vlan-parent "igb0",vlan-id 832.
il faut un espace aprés la virgule de mémoire.
aprés il y a pas mal de tuto ici ou sur le net mais mefie toi juste de l'option 90 qui change selon les tutos
J'ai essayé avec un espace après les virgules, mais sans effet.
-
Salut
@Kirky : Je viens de regarder la config que je viens de mettre en place :
Pour la partie WAN :
-Dans protocol Timing (Tous est vide)
-Option Modifiers : Vide (Ca doit dépendre de la zone ou l'on se trouve, moi si je mets qq chose ca ne marche pas)
Ma config actuel :
OPNsense 20.7.8 Virtualisé sous Proxmox
Fibre inséré dans un module GPON G-010S-A
Module GPON dans une Carte Réseau Melanox Connect-X
LB5 branché via le Port 4 pour pouvoir avoir la Téléphonie.
-
Salut
@Kirky : Je viens de regarder la config que je viens de mettre en place :
Pour la partie WAN :
-Dans protocol Timing (Tous est vide)
-Option Modifiers : Vide (Ca doit dépendre de la zone ou l'on se trouve, moi si je mets qq chose ca ne marche pas)
Ma config actuel :
OPNsense 20.7.8 Virtualisé sous Proxmox
Fibre inséré dans un module GPON G-010S-A
Module GPON dans une Carte Réseau Melanox Connect-X
LB5 branché via le Port 4 pour pouvoir avoir la Téléphonie.
Bonjour @filou59,
Je viens de tester avec tes recommandations mais sans succès.
Je te joins les captures ainsi que ma config ci-dessous.
dhcp-class-identifier "sagem",user-class "+FSVDSL_livebox.Internet.softathome.Livebox4",option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2F:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search,routers,domain-name-servers,option-90
ia-pd 0,raw-option 6 00:0b:00:11:00:17:00:18,raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:34,raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d,raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
Dans les Option Modifiers, j'ai essayé avec et sans.
Au cas ou tu détectes une erreur.
Merci de ton aide et à bientôt :)
Kirky
-
A ta place je ferais l'impasse sur le DHCP6 dans un premier temps.
Moi au début je n'avais rien a cause d'un problème coté DHCP6.
Valide ta conf en DHCP ensuite dès que ca marche passe au DHCP6+
A noter que je n'ai pas eu besoin de option modifier, et que option 6 dans DHCP6 me posait problème.
Parfois il faut rebooter OPNsense après certains changement.
Moi j'ai : ,user-class "+FSVDSL_livebox.Internet.softathome.Livebox3" mais il me semble que cela ne change rien.
-
A ta place je ferais l'impasse sur le DHCP6 dans un premier temps.
Moi au début je n'avais rien a cause d'un problème coté DHCP6.
Valide ta conf en DHCP ensuite dès que ca marche passe au DHCP6+
A noter que je n'ai pas eu besoin de option modifier, et que option 6 dans DHCP6 me posait problème.
Parfois il faut rebooter OPNsense après certains changement.
Moi j'ai : ,user-class "+FSVDSL_livebox.Internet.softathome.Livebox3" mais il me semble que cela ne change rien.
Re,
J'ai testé tes recommandations, mais pareil :'(
Aurais tu une autre piste ?
Ce qui me parait bizarre, c'est que cela fonctionne avec un router Mikrotic.
Kirky
-
Au fait c'est quoi ta config ?
La chaine qui contient ton login/pass tu l'as obtenu comment ? (option-90)
Tes couple de nombre en hexa sont bien sur 2 chiffres ? exemple si tu a 3, OPNsense attend 03. (enfin c'est ce que j'ai lu qq part)
Sinon cette chaine, moi je l'ai récupéré dans LiveBoxInfo un petit outil que tu peux trouver sur le net, en se connectant sur la box, il récupere quelques info dont celle-ci.
-
Au fait c'est quoi ta config ?
La chaine qui contient ton login/pass tu l'as obtenu comment ? (option-90)
Tes couple de nombre en hexa sont bien sur 2 chiffres ? exemple si tu a 3, OPNsense attend 03. (enfin c'est ce que j'ai lu qq part)
Sinon cette chaine, moi je l'ai récupéré dans LiveBoxInfo un petit outil que tu peux trouver sur le net, en se connectant sur la box, il récupere quelques info dont celle-ci.
Re,
Je suis sur un Shuttle XPC slim DH370 I5 8GO de ram.
La chaine de l'option 90 a été générée à partir de : https://jsfiddle.net/kgersen/3mnsc6wy/
Je teste avec l'outil LiveboxInfo et je reviens vers toi.
Kirky
-
Au fait c'est quoi ta config ?
La chaine qui contient ton login/pass tu l'as obtenu comment ? (option-90)
Tes couple de nombre en hexa sont bien sur 2 chiffres ? exemple si tu a 3, OPNsense attend 03. (enfin c'est ce que j'ai lu qq part)
Sinon cette chaine, moi je l'ai récupéré dans LiveBoxInfo un petit outil que tu peux trouver sur le net, en se connectant sur la box, il récupere quelques info dont celle-ci.
Re,
Grace à l'outil, J'ai récupéré la chaine de l’option 90 et elle est différente de ce que j'ai généré avec le lien "https://jsfiddle.net/kgersen/3mnsc6wy/".
Je ne comprends pas pour quelle raison cette chaine générée a fonctionné avec un router Mikrokit.
Donc maintenant que j'obtiens une IPv4, j'essaye d'obtenir une IPv6.
Je vois bien dans le log des IPv6, par contre elle ne s'affiche pas.
Je te remercie de l'aide apportée.
Kirky
-
Que la chaîne soit différente, c’est normal, à cause du sel qui est aléatoire.
D’ailleurs la livebox renouvelle son sel régulièrement . Si tu réutilises liveboxinfo dans quelques jours tu verras que la chaîne a changé. Heureusement, l’infra d’Orange n’empêche pas la connexion si la chaîne est toujours la même...
-
Que la chaîne soit différente, c’est normal, à cause du sel qui est aléatoire.
D’ailleurs la livebox renouvelle son sel régulièrement . Si tu réutilises liveboxinfo dans quelques jours tu verras que la chaîne a changé. Heureusement, l’infra d’Orange n’empêche pas la connexion si la chaîne est toujours la même...
Bonjour,
Merci pour l'information.
Petite question, j'ai mis à jour OPNsense ce jour et depuis lorsque je boot, je reste bloqué sur "Configuring WAN interface".
Si je débranche le câble Ethernet connecté entre la patte WAN et l'ont, la suite de l'écran défile normalement, mais je n'obtiens plus d'adresse IP.
J'ai redémarré 3 fois et j'ai changé le câble Ethernet 2 fois, même constat.
J'ai réinstallé la version précédente et dès que je mets les options dans l'interface WAN, je coince à la même étape d'initialisation.
J'ai inversé les interfaces, et j'ai reconfiguré le LAN et le WAN, même problème.
J'ai pris le câble Ethernet du coté de l'ont pour le mettre sur mon réseau local et là pas de souci, supprimé la configuration du WAN et j'obtiens bien un adresse IP.
Par contre si je remets le câble Ethernet sur l'ont, même souci.
J'ai éteint l'ont, j'ai attendu 20 minutes, même souci.
J'ai pris la nouvelle chaine de l'option 90 depuis le logiciel LiveboxInfo, même souci.
Auriez-vous une idée svp ?
Kirky
-
Bonjour,
Je n'ai toujours pas trouvé la raison de mon précédent souci, si quelqu'un aurait une piste à me partager :) :) :).
Pour le souci de l'ipv6 en fait, c'est réglé car je n'ai pas d'adresse IPv6.
Lorsque je regarde l'outil LiveboxInfo, la partie IPv6 est vide.
DONNEES DHCP V6
dhcpstatus :
DUID :
CheckAuthentication :
AuthenticationInfo :
ResetOnPhysDownTimeout :
SentOption : -1
SentOption 11 :
SentOption 15 :
SentOption 16 :
SentOption 17 :
ReceivedOption : -1
Kirky
-
Bonjour,
Merci pour l'information.
Petite question, j'ai mis à jour OPNsense ce jour et depuis lorsque je boot, je reste bloqué sur "Configuring WAN interface".
Si je débranche le câble Ethernet connecté entre la patte WAN et l'ont, la suite de l'écran défile normalement, mais je n'obtiens plus d'adresse IP.
J'ai redémarré 3 fois et j'ai changé le câble Ethernet 2 fois, même constat.
J'ai réinstallé la version précédente et dès que je mets les options dans l'interface WAN, je coince à la même étape d'initialisation.
J'ai inversé les interfaces, et j'ai reconfiguré le LAN et le WAN, même problème.
J'ai pris le câble Ethernet du coté de l'ont pour le mettre sur mon réseau local et là pas de souci, supprimé la configuration du WAN et j'obtiens bien un adresse IP.
Par contre si je remets le câble Ethernet sur l'ont, même souci.
J'ai éteint l'ont, j'ai attendu 20 minutes, même souci.
J'ai pris la nouvelle chaine de l'option 90 depuis le logiciel LiveboxInfo, même souci.
Auriez-vous une idée svp ?
Kirky
Bonjour,
J'ai essayé de virtualiser le router OPNSense sous ESXI 7 sur la même machine, mais je rencontre le même souci.
Par contre, je tiens à préciser que le blocage de l'interface WAN lors du démarrage se produit lorsque l'élément "send_options" est rempli.
Je ne comprends pas pour quelle raison, elle bloque l'initialisation de ce port, alors que cela fonctionnait et même lorsque ma chaîne n'était pas correcte, cela n'a bloqué l'initialisation.
Send Option :
dhcp-class-identifier "sagem",user-class "+FSVDSL_livebox.Internet.softathome.Livebox3",option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX
Personne n'aurait une idée d’où pourrait provenir ce souci s'il vous plait ?
Je paye pour la réponse ;)
Bonne fin de journée & bon week-end,
Kirky
-
Bonjour,
Merci pour l'information.
Petite question, j'ai mis à jour OPNsense ce jour et depuis lorsque je boot, je reste bloqué sur "Configuring WAN interface".
Si je débranche le câble Ethernet connecté entre la patte WAN et l'ont, la suite de l'écran défile normalement, mais je n'obtiens plus d'adresse IP.
J'ai redémarré 3 fois et j'ai changé le câble Ethernet 2 fois, même constat.
J'ai réinstallé la version précédente et dès que je mets les options dans l'interface WAN, je coince à la même étape d'initialisation.
J'ai inversé les interfaces, et j'ai reconfiguré le LAN et le WAN, même problème.
J'ai pris le câble Ethernet du coté de l'ont pour le mettre sur mon réseau local et là pas de souci, supprimé la configuration du WAN et j'obtiens bien un adresse IP.
Par contre si je remets le câble Ethernet sur l'ont, même souci.
J'ai éteint l'ont, j'ai attendu 20 minutes, même souci.
J'ai pris la nouvelle chaine de l'option 90 depuis le logiciel LiveboxInfo, même souci.
Auriez-vous une idée svp ?
Kirky
Bonsoir,
Suite à la mise à jour du BIOS et à de nouveaux relevés fait de la box à partir de LiveboxInfo, je me suis aperçu qu'un paramètre avait changé au niveau de la configuration du VLAN. Effectivement sur le relevé de LiveboxInfo, je vois maintenant une VLAN priority à 6.
Je mets donc le VLAN priority à 6 et je reboote.
Super j'ai de nouveau une connexion Internet mais avec des débits faibles.
Une personne aurait il une idée svp ?
Bonne soirée,
Kirky
-
Il faut que le DHCP uniquement soit en priorité 6, pas le reste du trafic, sinon le débit est très limité.
-
Bonjour à toutes et à tous,
j'essaie d'utiliser OPNsense 21.1 pour remplacer mon routeur actuel (Mikrotik RB2011) sur une liaison Orange ADSL, mais j'ai un problème :
le client DHCP d'OPNsense n'envoie pas les options 60 (dhcp-class-identifier) et 77 (user-class).
Configuration du client DHCP :
root@Gateway:~ # cat /var/etc/dhclient_wan.conf
interface "re1" {
# DHCP Protocol Timing Values
# DHCP Protocol Options
send dhcp-class-identifier “sagem”;
send user-class “+FSVDSL_livebox.Internet.softathome.Livebox3”;
send option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;
request subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search,routers,domain-name-servers;
script "/usr/local/opnsense/scripts/interfaces/dhclient-script";
supersede interface-mtu 0;
}
Capture des paquets :
root@Gateway:~ # tcpdump -i re1 -nvvv udp port 67 or udp port 68
tcpdump: listening on re1, link-type EN10MB (Ethernet), capture size 262144 bytes
12:10:03.216569 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 335)
0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from 00:1e:06:xx:xx:xx, length 307, xid 0xf0448f3d, secs 58, Flags [none] (0x0000)
Client-Ethernet-Address 00:1e:06:xx:xx:xx
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Client-ID Option 61, length 7: ether 00:1e:06:xx:xx:xx
Hostname Option 12, length 7: "Gateway"
Parameter-Request Option 55, length 8:
Subnet-Mask, BR, Lease-Time, RN
RB, Option 119, Default-Gateway, Domain-Name-Server
AUTH Option 90, length 33: 0.0.0.0.0.0.0.0.0.0.0.26.9.0.0.5.88.1.3.65.1.13.x.x.x.x.x.x.x.x.x.x.x
END Option 255, length 0
Lancement manuel du client DHCP :
root@Gateway:~ # dhclient -c /var/etc/dhclient_wan.conf re1
/var/etc/dhclient_wan.conf line 5: expecting string.
send dhcp-class-identifier �
^
/var/etc/dhclient_wan.conf line 6: expecting string.
send user-class �
^
dhclient 65974 - - Starting delete_old_states()
DHCPDISCOVER on re1 to 255.255.255.255 port 67 interval 7
DHCPDISCOVER on re1 to 255.255.255.255 port 67 interval 14
À priori le client DHCP ne reconnaît pas ces options. J'ai essayé de mettre option-60, mais ça ne fonctionne pas non plus...
Auriez-vous une solution à ce problème s'il-vous-plaît ?!
Merci ! Bonne journée !
-
Bon je me réponds à moi-même, j'ai trouvé la solution ::)
J'ai copié les paramètres de configuration depuis la documentation disponible ici :
https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html
Et malheureusement les caractères "guillemet" ne sont pas les bons....
Il suffisait de changer “sagem” par "sagem", et de changer “+FSVDSL_livebox.Internet.softathome.Livebox3” par "+FSVDSL_livebox.Internet.softathome.Livebox3".
Voilà ! Maintenant tout fonctionne bien en IPv4 et IPv6 ;)
J'entame maintenant l'aventure OPNsense.
Configuration du client DHCP :
root@Gateway:~ # cat /var/etc/dhclient_wan.conf
interface "re1" {
# DHCP Protocol Timing Values
# DHCP Protocol Options
send dhcp-class-identifier "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;
request subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search,routers,domain-name-servers;
script "/usr/local/opnsense/scripts/interfaces/dhclient-script";
supersede interface-mtu 0;
}
Capture des paquets :
root@Gateway:~ # tcpdump -i re1 -nvvv udp port 67 or udp port 68
tcpdump: listening on re1, link-type EN10MB (Ethernet), capture size 262144 bytes
18:06:00.834570 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 388)
0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from 00:1e:06:xx:xx:xx, length 360, xid 0x413d434e, Flags [none] (0x0000)
Client-Ethernet-Address 00:1e:06:xx:xx:xx
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Vendor-Class Option 60, length 5: "sagem"
Client-ID Option 61, length 7: ether 00:1e:06:xx:xx:xx
Hostname Option 12, length 7: "Gateway"
Parameter-Request Option 55, length 8:
Subnet-Mask, BR, Lease-Time, RN
RB, Option 119, Default-Gateway, Domain-Name-Server
User-Class Option 77, length 44:
instance#1: "FSVDSL_livebox.Internet.softathome.Livebox3", length 43
AUTH Option 90, length 33: 0.0.0.0.0.0.0.0.0.0.0.26.9.0.0.5.88.1.3.65.x.x.x.x.x.x.x.x.x.x.x.x.x
END Option 255, length 0
Désolé pour le dérangement ;D
Bonne soirée !
-
Bonsoir,
J’essaye de virtualiser Opnsense, mais sans succès en DHCP.
Cela fonctionne très bien lorsque j’utilise le protocole PPOE car sur le port de réseau j’indique le VLAN 832 depuis l’interfaces ESX.
J.ai essayé la même chose pour le VLAN 835, pas de connexion.
Auriez-vous une idée s’il vous plaît ?
Kirky
-
Sans doute parce que quand c’est ESX qui tag/detag le VLAN, il est incapable de mettre la CoS 802.1p à 6 pour les requêtes DHCP.
Il est absolument indispensable que l’opnsense virtualisé voit l’interface réseau physique, et qu’il s’occupe lui même des VLAN.
-
Ok donc je dois supprimer le vwitch.
Merci je vais essayer.
Bonne soirée,
Kirky
-
Bonjour, cela fait quelques années que mon opnsense fonctionne bien. Les MAJ passent tranquilles. Le débit était au top. 700Mbit/s ça m'allait bien même si en théorie je peux monter à 2Gb/s.
Mais je me suis rendu compte hier que mon débit était vraiment limité. Voir le thread https://lafibre.info/orange-debit/passage-de-700mbits-a-100200mbits-avec-un-opnsense-mais-pas-que/
Mais quand je cherche pourquoi cela pourait arriver maintenant, je me souviens avoir passé mon Opnsense en version 21.7
Mes questions sont donc :
- Est-ce que je suis le seul dans ce cas là ?
- Est-ce que le patch dhcp est toujours intégré à Opnsense ?
-
Bonjour,
Pour info, je suis toujours en version 21.1.9_1 et mon débit n'a pas bougé 300/300 Mbit/s chez Sosh.
-
Bonjour
Je suis abonnée en open orange et depuis plusieurs mois j'utilise un apu sous pfsense avec pppoe (oui je sais pour dhcp)
Pour faciliter mes test dhcp j'ai investie dans un autre apu sous opnsense 21.7.1
Pour l'instant dans mes tests j'arrive à me connecter en ipv6 .Je suppose car il n'affiche pas d'ipV4 ni d'ipv6 sur l'état de connexion et aussi j'ai grosses lenteurs sur la navigation
Je suppose que vu que j'arrive à me connecter ma chaine d'authentification option 90 et option 11 est correcte à voir j'ai intégré mon username (fti\) et mon mot de passe de connexion. Pour cela j'ai utilisé ce site https://jsfiddle.net/kgersen/3mnsc6wy/ (https://jsfiddle.net/kgersen/3mnsc6wy/)
Ci-joint les imprimes écran de la config si quelqu'un peut m'aider merci d'avance
Cordialement
Eckeagle
-
Ton problème vient des guillemets " qui sont des guillemets "français" et proviennent de ton copier-coller.
Problème déjà remonté un peu plus haut dans le thread.
-
Bonjour
J'ai vu ce problèmeTon problème vient des guillemets " qui sont des guillemets "français" et proviennent de ton copier-coller.
Problème déjà remonté un peu plus haut dans le thread.
désolé j'ai du mal à comprendre
Quand je fais touche 3 ça me fais guillemets "français"? c'est ça?
Merci d'avance
-
Dans Send Options :
Remplace les “ par "
C'est pas le même guillemet ;)
-
Les guillemets français, c’est “ça”
Les guillemets US c'est "ça" et dans le "code" c'est ceux-là qu'il faut utiliser.
Il faut faire attention au code qui est dans certains éditeurs "intelligents".
-
Rebonjour
c'est lequel https://fr.wikipedia.org/wiki/Aide:Caract%C3%A8res_sp%C3%A9ciaux_probl%C3%A9matiques#Guillemets_fran%C3%A7ais_%C2%AB_et_%C2%BB (https://fr.wikipedia.org/wiki/Aide:Caract%C3%A8res_sp%C3%A9ciaux_probl%C3%A9matiques#Guillemets_fran%C3%A7ais_%C2%AB_et_%C2%BB) ??
-
Au temps pour moi. J'ai confondu français et anglais. Mais en gros, remplace celui que tu copie-colle par celui que tu tapes avec ton clavier.
C'est le caractère 34 en ascii :
http://www.physics.udel.edu/~watson/scen103/ascii.html
-
bonjour
Bonne nouvelle :) ipv4 marche action effectuer j'ai retapé tous mes guillemets et j'ai remis les "option modifiers" .Maintenant je récupère bien une adresse ipv4 la navigation est normale, test de débit correcte
maintenant reste ipv6
A ce sujet la ligne "send option" me semble correcte où la j'ai un doute c'est le prefix interface les options ne sont pas les mème dans le tuto
https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html?highlight=orange (https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html?highlight=orange) que dans ma version pareille pour la config lan.
Merci d'avance de votre aide
Cordialement
Eckeagle
-
Cool ça !
C'est quoi ce que tu appelles "débit correct" ?
Et tu as quelle version d'Opnsense ? Tu as un boîtier type OTN (Fibre vers Ethernet) ou directement une prise fibre dans ta machine ?
-
j'ai fait un test débit et ça tournait autour des 150M0/S en up et 250MO/S en down
Pour la version d'opnsense j'ai la dernière release 21.7.1 et pour l'OTN j'ai un TP-link MC220L
-
OK. Les nouvelles de mon côté. J'ai eu le support Orange. J'ai bien récupéré un débit de 900Mbps avec la Livebox. Mais toujours un débit réduit avec Opnsense.
Et maintenant quand je regarde la capture du paquet DHCP, j'ai 70 bits pour l'authentification de la Livebox. Mais que 33 avec Opnsense. J'ai l'impression qu'ils ont mis une protection en plus.
Je viens de tester avec les binaires de la version `OPNsense-20.1-OpenSSL-dvd-amd64`, j'ai le même problème. Cela ne vient donc pas de là :(
-
Bon, comme répondu ici :
https://lafibre.info/orange-debit/passage-de-700mbits-a-100200mbits-avec-un-opnsense-mais-pas-que/msg887901/#msg887901
Ça refonctionne avec un bon débit. Je vais essayer de remettre le binaire de base.
-
Et maintenant quand je regarde la capture du paquet DHCP, j'ai 70 bits pour l'authentification de la Livebox. Mais que 33 avec Opnsense
Bytes, pas bits.
Et ça fait juste 2 ans qu’on est passé à la chaîne d’authentification longue. Probable qu’à un moment où un autre la version courte commence à foirer… Et c’est même pire que ça, la version courte n’a jamais été utilisée par la Livebox, c’est un vrai coup de chance qu’elle ait fonctionné…
-
Je viens de supprimer tout mon message, mon probleme est que j'ai une livebox 5 ....
-
Bonjour, j'ai eu du succès avec mon TX-6610 en mode "Contrôle par OLT" avec OPNSense. J'essaie un ONT Leox pour obtenir le plein gigabit. Malheureusement, il semble que j'ai des problèmes de vitesse ou de routage.
Mes tests de vitesse sont :
- TPLink 700/400
- Leox branché à la Livebox 950/600 (donc l'ONT est bon ici)
- Leox avec OPNsense 300-900 down (inconsistant) et 3.5-10Mbps up.
Une idée de ce qui pourrait causer ce problème ? CoS ? Flow control ?
-
J'ai un peu le même problème, je suis déjà loin des 2Gb/s en download, mais en upload c'est anémique.
Proxmox avec OpnSense 21 en VM et PCI Passthrough, carte fibre DELL BROADCOM BCM57810S 10GB Dual Port SFP+.
(https://www.speedtest.net/result/12124470122.png)
-
Vous êtes certains de ne pas tagger tout votre traffic sortant en CoS 6 ? Parce que c'est clairement un symptome d'une mauvaise CoS...
-
Je viens de tester sur Microtik, cos 6 pour le port 67 en UDP uniquement, même problème pour le download je stagne à 300Mb/s, l'upload est correcte.
Je viens de voir que mon ONT synchro en 1GB sur Microtik, impossible de le faire synchro en 2,5Gb:
name: sfp-sfpplus1
status: link-ok
auto-negotiation: done
rate: 1Gbps
full-duplex: yes
tx-flow-control: no
rx-flow-control: no
advertising:
link-partner-advertising:
sfp-module-present: yes
sfp-rx-loss: no
sfp-tx-fault: no
sfp-type: SFP-or-SFP+
sfp-connector-type: SC
sfp-link-length-9um: 40000m
sfp-vendor-name: ALCATELLUCENT
sfp-vendor-part-number: 3FE46541AA
sfp-vendor-revision: 0001
sfp-vendor-serial: ALCLF855701Bpro
sfp-wavelength: 1312.55nm
sfp-dwdm-channel-spacing: 32Ghz
sfp-temperature: 45C
sfp-supply-voltage: 3.299V
Testé avec le sgmii_mode à 2 ou 5 même problème. Je vais setup un debian nu pour tester.
-
Bonjour à tous,
J'avais réalisé le remplacement de ma Livebox Fibre par Opnsense il y a quelques temps. Plusieurs déménagements plus tard, je me retrouve avec une Livebox 4 mais cette fois en VDSL2...
J'ai suivi le tuto "bêtement' comme la première fois, mais je n'arrive pas à choper d'IPv4 (ni de v6). Mais en refléchissant un peu, je me dis que le tuto actuel ne fonctionne peut-être pas en xDSL... J'ai l'impression que c'est la livebox qui détient l'IP publique et que opnsense ne pourra donc pas en avoir une.... et côté matos, je ne peux pas brancher le RJ11 de l'arrivée xDSL sur mon routeur opnsense.
TLDR : Est-ce que ce guide fonctionne avec une connexion xDSL ?
Merci d'avance.
-
Bonjour,
...je me retrouve avec une Livebox 4 mais cette fois en VDSL2...
.... et côté matos, je ne peux pas brancher le RJ11 de l'arrivée xDSL sur mon routeur opnsense.
...
Ce câble xDSL se branche sur le port RJ11 d'un modem VDSL2 qui sera en amont du routeur. Comme alternative on peut utiliser un modem-routeur.
Quel modem (ou modem-routeur) VDSL2 as-tu ? ;)
-
Bonjour,
Ce câble xDSL se branche sur le port RJ11 d'un modem VDSL2 qui sera en amont du routeur. Comme alternative on peut utiliser un modem-routeur.
Quel modem (ou modem-routeur) VDSL2 as-tu ? ;)
Merci pour ta réponse.
Je n'ai effectivement pas de modem.
Juste mon routeur opnsense 4 ports RJ45. Donc, avec un modem (compatible, j'imagine ?) + mon opnsense actuel (et donc toutes mes config de VLAN, firewall) je pourrais avoir une solution fonctionnelle ?
EDIT : l'idée c'est vraiment de conserver opnsense pour ne pas refaire une grosse partie de ma config locale (firewall, vlan, baux dhcp, etc.). Accessoirement aussi, une partie des DNS qui sont gérés via opnsense (depuis les baux dhcp pour la provision automatique des nouvelles VMs).
EDIT 2 : pour résumer : modem vdsl2 avec qui se connecte en ppoe avec les identifiants fti/ + MDP. Ensuite ce modem est en mode bridge, directement relié à opnsense (comme les Freebox). C'est bien ça ?
-
Tu peux demander à @Craftdigger, voir là https://lafibre.info/remplacer-livebox/remplacer-livebox-vdsl-par-routeur-opnsense/ .
Il avait un modem Huawei HG612 en amont d'un Opnsense.
EDIT: correction, je viens de vérifier avec la config postée par @cetipabo pour son HG612 et c'est bien ce dernier (modem HG612 en bridge) qui contient la config pour l'accès (fti/xxx + mdp). Donc ma faute, avec mes excuses.
En général c'est le routeur en aval (derrière le modem) modem qui est configuré pour l'accès (fti/xxxx + mdp) que ce soit en PPPoE ou en IPoE+DHCP.
Dans la même discussion il y avait aussi @dmfr avec ce même modem. Voir là aussi https://lafibre.info/remplacer-livebox/modem-tiers-compatible-vdsl2/msg495448/#msg495448 .
De mémoire il y avait @cetipabo qui avait aussi essayé ce même HG612.
-
Tu peux demander à @Craftdigger, voir là https://lafibre.info/remplacer-livebox/remplacer-livebox-vdsl-par-routeur-opnsense/ .
Il avait un modem Huawei HG612 en amont d'un Opnsense.
EDIT: correction, je viens de vérifier avec la config postée par @cetipabo pour son HG612 et c'est bien ce dernier (modem HG612 en bridge) qui contient la config pour l'accès (fti/xxx + mdp). Donc ma faute, avec mes excuses.
En général c'est le routeur en aval (derrière le modem) modem qui est configuré pour l'accès (fti/xxxx + mdp) que ce soit en PPPoE ou en IPoE+DHCP.
Dans la même discussion il y avait aussi @dmfr avec ce même modem. Voir là aussi https://lafibre.info/remplacer-livebox/modem-tiers-compatible-vdsl2/msg495448/#msg495448 .
De mémoire il y avait @cetipabo qui avait aussi essayé ce même HG612.
Merci beaucoup. Je vais creuser ça, mais pas forcément avec ce modem. En espérant que celui que j'ai repéré soit compatible. Je partagerai mes retours ici.
-
Ah zut, du coup je ne suis pas sûr que ce soit sur le HG612 en mode bridge que la config fti/xxx+ mdp se fasse, car cette config postée par @cetipabo était avant qu'îl passe le HG612 en mode bridge, donc encore en mode routeur.
Puis quand il a posté le HG612 en mode bridge tout cela a disparu du HG612. La capture d'écran postée par @dmfr va aussi dans ce sens, donc fti/xxx+mdp sur le routeur derrière le modem HG612 en bridge.
Il faudra lui demander ou demander à dmfr ou Craftdigger.
-
Ah zut, du coup je ne suis pas sûr que ce soit sur le HG612 en mode bridge que la config fti/xxx+ mdp se fasse, car cette config postéee par @cetipabo était avant qu'îl passe le HG612 en mode bridge, donc encore en mode routeur.
Puis quand il a posté le HG612 en mode bridge tout cela a disparu du HG612.
Il faudra lui demander ou demander à dmfr ou Craftdigger.
Ne t'en fais pas, tu m'as mis sur la piste du modem. C'est l'élement qui me manquait (car ne voulant pas remplacer réellement la Livebox, j'étais resté sur l'usage du modem de cette dernière sans la partie wifi / routage / firewall).
Je devrais m'en sortir (j'espère).
-
Bonjour, il faut oublier la méthode en PPPoe, Orange est en train de l'arrêter pour de bon en ce moment, de nombreux témoignages ici en atteste.
Pour passer avec un modem xDSL, il faut qu'il supporte les options DHCP 77 et 90. il reste comme solution les modem/routeurs BT Home hub 5 (BTHH5A) flashé en openwrt. Ou bien les Technicolor DGA4130, DGA4132 de l'opérateur italien TIM qu'on peut rooter, ils sont en Openwrt. Avec ces modem on pourra faire du DHCP à la sauce Orange et les passer en mode Bridge.
-
Bonjour, il faut oublier la méthode en PPPoe, Orange est en train de l'arrêter pour de bon en ce moment, de nombreux témoignages ici en atteste.
Pour passer avec un modem xDSL, il faut qu'il supporte les options DHCP 77 et 90. il reste comme solution les modem/routeurs BT Home hub 5 (BTHH5A) flashé en openwrt. Ou bien les Technicolor DGA4130, DGA4132 de l'opérateur italien TIM qu'on peut rooter, ils sont en Openwrt. Avec ces modem on pourra faire du DHCP à la sauce Orange et les passer en mode Bridge.
ok, merci !
-
En VDSL2 un Huawei HG612 en mode bridge.
Modem = Couche 1
Mode bridge = Couche 2
Rentrer uniquement les paramètres PTM et affecter sur LAN1 ou LAN2 le WAN bridgé de la ligne téléphonique. Tout ce qui se passe après c'est sur un routeur (PPPoE (même si PPPoE c'est couche 2 et paramètrable sur un modem, c'est obsolète et à ne plus utiliser) ou DHCP). Dans cette config le HG612 est exactement comme un ONT Fibre.
-
Merci beaucoup. Je vais creuser ça, mais pas forcément avec ce modem. En espérant que celui que j'ai repéré soit compatible. Je partagerai mes retours ici.
Choses promises, chose due. J'ai enfin réussi à remplacer la Livebox VDSL par un autre modem, le tout en mode bridge pour conserver ma config OPNSense (https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-technicolor-dga4132-roote). Un grand merci à cette communauté sans laquelle je n'aurais jamais réussi.
-
Merci beaucoup. Je vais creuser ça, mais pas forcément avec ce modem. En espérant que celui que j'ai repéré soit compatible. Je partagerai mes retours ici.
Chose promise, chose due.
J'ai enfin réussi à remplacer la Livebox VDSL par un autre modem, le tout en mode bridge pour conserver ma config OPNSense (https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-technicolor-dga4132-roote/msg905443/#msg905443). Un grand merci à cette communauté sans laquelle je n'aurais jamais réussi.
-
Hello, la team,
depuis que temps j'ai des Freeze de l'image, l'intervalle varie entre 1min10 et 60sec, quelque soit la chaine affichée
Je n'ai pas fait de modification de mon installation, OPNSense ne me sert que pour le Proxy IGMP (le Wan étant géré par un Firewall Stormshield, avec un ONT "débridé" a 2Gbps dans mon switch)
Donc ma config
Fibre --> ONT 2G --> Switch --> vif 1 OPNSense VM vif 2--> Switch --> Décodeur.
Dans OPNSense j'ai donc une interface vlan tag 840 en pcp 5, et mon interface lan sans tag.
Je voulais savoir si vous aviez déjà rencontré ce soucis.
Évidemment quand je rebranche la livebox, c'est OK.
Edit: coté Vlan840 sur opnsense à chaque freeze, j'ai un igmp leave qui est envoyé
root@OPNsense:~ # tcpdump -ni vmx2_vlan840 not host 232.0.3.36
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vmx2_vlan840, link-type EN10MB (Ethernet), capture size 262144 bytes
18:47:11.179093 IP 192.168.255.254 > 224.0.0.2: igmp leave 232.0.3.36
18:47:54.525788 IP 0.0.0.0 > 224.0.0.1: igmp query v2
18:48:06.034990 IP 192.168.255.254 > 224.0.0.2: igmp leave 232.0.3.36
Edit 2 :
Coté LAN :
root@OPNsense:~ # tcpdump -ni vmx1 igmp and not host 232.0.3.36
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vmx1, link-type EN10MB (Ethernet), capture size 262144 bytes
18:49:46.256314 IP 192.168.10.6 > 224.0.0.1: igmp query v2
18:49:50.045386 IP 192.168.10.6 > 224.0.0.22: igmp v2 report 224.0.0.22
18:49:55.245222 IP 192.168.10.6 > 224.0.0.2: igmp v2 report 224.0.0.2
18:49:58.744757 IP 192.168.10.6 > 224.0.0.1: igmp query v2
18:50:01.045055 IP 192.168.10.6 > 224.0.0.2: igmp v2 report 224.0.0.2
18:50:07.050835 IP 192.168.10.6 > 224.0.0.22: igmp v2 report 224.0.0.22
18:50:09.078655 IP 192.168.10.25 > 224.0.0.2: igmp leave 232.0.3.36
18:50:22.705447 IP 192.168.10.6 > 224.0.0.1: igmp query v2
18:50:23.045463 IP 192.168.10.6 > 224.0.0.2: igmp v2 report 224.0.0.2
18:50:28.045514 IP 192.168.10.6 > 224.0.0.22: igmp v2 report 224.0.0.22
18:50:36.054979 IP 192.168.10.6 > 224.0.0.1: igmp query v2
18:50:40.445069 IP 192.168.10.6 > 224.0.0.2: igmp v2 report 224.0.0.2
18:50:41.245236 IP 192.168.10.6 > 224.0.0.22: igmp v2 report 224.0.0.22
18:50:52.884123 IP 192.168.10.6 > 224.0.0.1: igmp query v2
18:50:57.044625 IP 192.168.10.6 > 224.0.0.22: igmp v2 report 224.0.0.22
18:51:00.850891 IP 192.168.10.6 > 224.0.0.2: igmp v2 report 224.0.0.2
18:51:03.167400 IP 192.168.10.25 > 224.0.0.2: igmp leave 232.0.3.36
Merci
-
Ca ressemble à des paquets IGMP qui sont bloqués par un firewall.
En fonctionnement normal, ton OPNsense devrait envoyer à intervalles régulières un paquet IGMP "report" sur le vlan 840 en réponse à un IGMP "query" des équipements Orange pour signaler qu'il consomme toujours le multicast.
Hors là, il semble les bloquer (puisqu'on les voit côté LAN, mais pas côté 840).
-
Merci pour l'information.
J'ai tester avec une autre appliance (mikrotik chr) j'ai le même comportement.
Très probablement un truc qui a sauté dans ma conf de mon switch. J'ai l'igmp snooping activé
Je creuse et je posterai mes résultats
Merci encore
-
J'ai un peu avancé
Les report n'étais pas visiblent sur la capture car filtré par mon filtre.
Les reports sont bien transmis coté WAN 840 mais bien moins souvant que ceux reçu sur le LAN.
je dump directement sur la VM donc on peut mettre de coté la conf du switch.
Coté WAN 840
root@OPNsense:~ # tcpdump -ni vmx2_vlan840 not '(port 8202 or port 8200)'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vmx2_vlan840, link-type EN10MB (Ethernet), capture size 262144 bytes
08:44:56.141172 IP 192.168.255.254 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:26.993511 IP 0.0.0.0 > 224.0.0.1: igmp query v2
08:45:30.263450 IP 192.168.255.254 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:33.274503 IP 192.168.255.254 > 224.0.0.2: igmp leave 232.0.32.15
08:45:37.174691 IP 192.168.255.254 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:54.716030 IP 0.0.0.0 > 224.0.0.1: igmp query v2
08:46:00.664085 IP 192.168.255.254 > 232.0.32.15: igmp v2 report 232.0.32.15
Coté lan :
root@OPNsense:~ # tcpdump -ni vmx1 igmp and not port '(8200 or 8202)'
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vmx1, link-type EN10MB (Ethernet), capture size 262144 bytes
08:44:55.555406 IP 192.168.10.25 > 224.0.0.2: igmp leave 232.0.32.15
08:44:56.140326 IP 192.168.10.25 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:01.524185 IP 192.168.10.25 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:05.771928 IP 192.168.10.25 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:08.774724 IP 192.168.10.6 > 224.0.0.1: igmp query v2
08:45:09.264248 IP 192.168.10.6 > 224.0.0.22: igmp v2 report 224.0.0.22
08:45:15.864340 IP 192.168.10.6 > 224.0.0.2: igmp v2 report 224.0.0.2
08:45:18.874352 IP 192.168.10.6 > 224.0.0.1: igmp query v2
08:45:24.863626 IP 192.168.10.6 > 224.0.0.22: igmp v2 report 224.0.0.22
08:45:26.463868 IP 192.168.10.6 > 224.0.0.2: igmp v2 report 224.0.0.2
08:45:30.004508 IP 192.168.10.6 > 224.0.0.1: igmp query v2
08:45:36.286086 IP 192.168.10.25 > 224.0.0.2: igmp leave 232.0.32.15
08:45:36.663386 IP 192.168.10.6 > 224.0.0.22: igmp v2 report 224.0.0.22
08:45:37.069694 IP 192.168.10.6 > 224.0.0.2: igmp v2 report 224.0.0.2
08:45:37.174014 IP 192.168.10.25 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:43.194051 IP 192.168.10.6 > 224.0.0.1: igmp query v2
08:45:45.463728 IP 192.168.10.6 > 224.0.0.2: igmp v2 report 224.0.0.2
08:45:45.980574 IP 192.168.10.25 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:51.063618 IP 192.168.10.6 > 224.0.0.22: igmp v2 report 224.0.0.22
08:45:52.668321 IP 192.168.10.25 > 232.0.32.15: igmp v2 report 232.0.32.15
08:45:57.743781 IP 192.168.10.6 > 224.0.0.1: igmp query v2
-
La fréquence des query et report dépend de la config des équipements réseau côté Orange.
Du coup là, je sèche :(
-
Hello,
Je rencontre des difficultés avec mon opérateur (KNET), je souhaite changer pour passer chez Orange en 2Gb.
J'utilise un parefeu pfsense installer sur un serveur Dell R230, il est équipé d'une carte PCI Chelsio T540-CR (4x Connecteur LC Duplex).
J'aimerai pouvoir souscrire un forfait 2Gb chez Orange, je comprends qu'il faut souscrire un forfait pour Livebox 5 (offre Livebox Up Fibre) ?!
Qu'apporte OPNsense par rapport à pfsense ? quels sont les différences, est-ce un plus pour utiliser une connexion Orange ?
Est-ce que la migration est simplifié ? Sauvegarde pfsense, restauration sur OPNsense ?
Je comprends qu'il faut prendre un module SFP NOKIA G-010S-A idéalement, et faire une soudure, pas évident... cette soudure est obligatoire ? elle sert à quoi ? il n'y pas de module plus simple et aussi performant c'est çà ?
Concernant le paramétrage du module, il faut entrer des informations, mais j'ai pas compris la manipulation à faire...
Est-ce que ma carte Chelsio T540 pourrait fonctionner avec ce module ? ou il faut absolument que j'achète également une carte PCI avec un chipset Broadcom BCM57810S ?
Pour la reconnaissance par pfsense ou OPNsense, dois-je installer des drivers spécifique ? si oui, lesquels ?
Merci pour votre aide.
-
Hello,
Je rencontre des difficultés avec mon opérateur (KNET), je souhaite changer pour passer chez Orange en 2Gb.
J'utilise un parefeu pfsense installer sur un serveur Dell R230, il est équipé d'une carte PCI Chelsio T540-CR (4x Connecteur LC Duplex).
J'aimerai pouvoir souscrire un forfait 2Gb chez Orange, je comprends qu'il faut souscrire un forfait pour Livebox 5 (offre Livebox Up Fibre) ?!
Qu'apporte OPNsense par rapport à pfsense ? quels sont les différences, est-ce un plus pour utiliser une connexion Orange ?
Est-ce que la migration est simplifié ? Sauvegarde pfsense, restauration sur OPNsense ?
Je comprends qu'il faut prendre un module SFP NOKIA G-010S-A idéalement, et faire une soudure, pas évident... cette soudure est obligatoire ? elle sert à quoi ? il n'y pas de module plus simple et aussi performant c'est çà ?
Concernant le paramétrage du module, il faut entrer des informations, mais j'ai pas compris la manipulation à faire...
Est-ce que ma carte Chelsio T540 pourrait fonctionner avec ce module ? ou il faut absolument que j'achète également une carte PCI avec un chipset Broadcom BCM57810S ?
Pour la reconnaissance par pfsense ou OPNsense, dois-je installer des drivers spécifique ? si oui, lesquels ?
Merci pour votre aide.
Bonsoir,
Pour 1Gbps tu prends un ONT LEOX (pas besoin de soudure et port ethernet Giga, pas de SFP à gérer) qui va te couter ~20€ et prendre 2min à le configurer et ensuite n'importe quel routeur/firewall qui doit absolument :
- envoyer une CoS 6 (DSCP 48) sur toutes les requêtes DHCPv4 Request et DHCPv6 Solicit avec les Renew
- faire une requête DHCPv4 sur le Vlan 832 en envoyant les options 60,61,77 et 90 avec les bonnes valeurs
- faire une requête DHCPv6 sur le Vlan 832 en envoyant les options 11,15,16 et 17 avec les bonnes valeurs
Pour récupérer les valeurs facilement, petit outil sous Windows :
https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/msg917135/#msg917135
Le plus dur est de choisir ton routeur/firewall.
Si tu souhaites exploiter les 2Gbps alors tu rentres dans un club mené par @Gnubyte ou peu sont arrivés au bout...
Le Fabricant du boitier LEOX doit sortir bientôt une nouvelle version avec un port ethernet Giga à 2,5Gbps ce qui devrait simplifier la quête du 2Gbps !
Dans mon cas j'ai deux Fibre Orange et Orange Pro avec deux ONT LEOX sur deux Livebox 5 avec derrière un Firewall Fortinet, dans une prochaine mise à jour du Firewall je pourrais faire toutes les options ci-dessus et virer mes Livebox 5 en branchant les deux LEOX directement sur le Firewall Fortinet.
-
Merci pour ta réponse.
CoS 6, cela veut dire quoi ? je suppose que pfsense c'est faire çà ?
En 2Gbps, a part l'ONT LEOX qui doit sortir point de salut dans ma configuration ?
-
Merci pour ta réponse.
CoS 6, cela veut dire quoi ? je suppose que pfsense c'est faire çà ?
En 2Gbps, a part l'ONT LEOX qui doit sortir point de salut dans ma configuration ?
CoS 6 cela veut dire que les requêtes DHCP doivent être marquées avec une Qualité de service différente de celle par défaut qui est CoS 0. C'est l'implémentation d'Orange qui demande cela.
Attention pour dépasser le Gbps je n'ai jamais dit qu'il fallait absolument un LEOX :
- Gnubyte a initié et trouvé le moyen de le faire avec une carte dual SFP+ précise insérée dans un PC adapté afin de pouvoir satisfaire le coté assez propriétaire des rares SFP/ONT compatible pour cela
- cette année le fabricant du LEOX devrait sortir une nouvelle version qui aura un port ethernet en 2,5 Gbps ce qui va énormément simplifier la solution
Mais à aujourd'hui si tu veux passer le Gbps seul l'approche de Gnubyte fonctionne...
-
Merci... je vais tenter l'approche carte SFP + Module, il est probable que j'achète un ONT 2.5Gb par la suite, cela pourrait aider en cas de problème de connexion pour analyser l'origine de la panne, deux solutions valent mieux qu'une ;)
Dernière question sur les différents modules, de ce que je comprends, celui-ci https://www.fs.com/fr/products/133619.html est bien adapté pour une utilisation 2Gb ?
Merci.
-
Module ONT : utilisez FS.com, pas le G-010S-A. Pas de soudure, facile à configurer.
Carte SFP+ : pour le moment, il semble que seule la BCM57810S puisse activer le mode 2.5 (ou 5 !) Gbps selon dslreports. J'ai lu ailleurs qu'une des cartes Intel peut le faire, mais le coût de la carte était de ~600eur, donc je n'ai pas investigué plus.
OPNsense vs. pfSense : J'ai aussi eu ce problème, mes recherches il y a 2 ans indiquaient que pfSense ne pouvait pas fournir les paquets DHCP en CoS=6. Peut-être que cela a changé...
Drivers OPNsense : vous devrez patcher le driver BSD pour 2.5Gbps et Broadcom. @epalzeolithe les a reconstruits en se basant sur dslreports. Vous pouvez les télécharger ici: https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg897949/#msg897949 (https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg897949/#msg897949). Notez que vous aurez besoin d'un nouveau patch à chaque mise à jour du kernel.
-
Module ONT : utilisez FS.com, pas le G-010S-A. Pas de soudure, facile à configurer.
Carte SFP+ : pour le moment, il semble que seule la BCM57810S puisse activer le mode 2.5 (ou 5 !) Gbps selon dslreports. J'ai lu ailleurs qu'une des cartes Intel peut le faire, mais le coût de la carte était de ~600eur, donc je n'ai pas investigué plus.
OPNsense vs. pfSense : J'ai aussi eu ce problème, mes recherches il y a 2 ans indiquaient que pfSense ne pouvait pas fournir les paquets DHCP en CoS=6. Peut-être que cela a changé...
Drivers OPNsense : vous devrez patcher le driver BSD pour 2.5Gbps et Broadcom. @epalzeolithe les a reconstruits en se basant sur dslreports. Vous pouvez les télécharger ici: https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg897949/#msg897949 (https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg897949/#msg897949). Notez que vous aurez besoin d'un nouveau patch à chaque mise à jour du kernel.
Ah, je note la question pour le CoS=6, c'est donc obligatoire, sinon pas possible d'avoir une connexion Internet ? ca concerne tous les vlans je présume ?
Si ca fonctionne sous pfSense, pas besoin de patcher pfsense ou d'installer des pilotes spécifique ?
Concernant le module SFP chez FS.com, il faut communiquer les infos de la box avant de l'acheter c'est çà ? sinon pas moyen de l'acheter et de configurer soit même ?
Si c'est possible, comment accède t-on à l'interface pour le paramétrer ?
J'ai pas encore basculer vers l'opérateur Orange mais je voudrais pouvoir anticiper en ayant le matériel avant.
Merci.
-
Il n'y a plus que 2 VLAN utilisés (832 pour Internet + VOD + Telephone, 840 pour le multicast de la TV en direct).
Pas de DHCP du tout pour le VLAN 840 : une IP privée inutilisée statique + un proxy IGMP suffisent + tout le trafic en CoS 5 (même si je ne suis pas certain que ce soit nécessaire, en tout cas la box le fait).
CoS 6 pour DHCP (et DHCP6-PD) obligatoire ou pas (selon région) sur le VLAN 832.
-
zoc est correct.DHCP cos=6 n'est requis que pour le vlan 832 (ou pas, selon region, IP et téléphone) et la TV est faite comme il l'a indiqué sur le vlan 840. Il existe des références au vlan 835 (PPPoE) et au vlan 838 (ancien VOD), qui ne sont plus utilisés.
pfsense aura également besoin d'un patch. Le driver BSD lui-même est commun à opnsense et pfsense, dans le fait qu'il est dérivé de FreeBSD. Je ne sais pas si vous pouvez utiliser le pilote opnsense directement - vous pouvez le patcher vous-même en suivant les instructions ici : https://www.dslreports.com/forum/r32387515- (https://www.dslreports.com/forum/r32387515-)
Il est possible de configurer le module FS.com vous-même si vous le souhaitez, vous aurez besoin soit d'un convertisseur de média, soit d'un PC de rechange à utiliser comme convertisseur coûteux et utiliser les commandes d'interface ici : https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg912988/#msg912988 (https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg912988/#msg912988)
Normalement, modifiez SN et equipmentID (je pense que cela s'appelle HardwareVersion dans LB5)
-
zoc est correct.DHCP cos=6 n'est requis que pour le vlan 832 (ou pas, selon region, IP et téléphone) et la TV est faite comme il l'a indiqué sur le vlan 840. Il existe des références au vlan 835 (PPPoE) et au vlan 838 (ancien VOD), qui ne sont plus utilisés.
pfsense aura également besoin d'un patch. Le driver BSD lui-même est commun à opnsense et pfsense, dans le fait qu'il est dérivé de FreeBSD. Je ne sais pas si vous pouvez utiliser le pilote opnsense directement - vous pouvez le patcher vous-même en suivant les instructions ici : https://www.dslreports.com/forum/r32387515- (https://www.dslreports.com/forum/r32387515-)
Il est possible de configurer le module FS.com vous-même si vous le souhaitez, vous aurez besoin soit d'un convertisseur de média, soit d'un PC de rechange à utiliser comme convertisseur coûteux et utiliser les commandes d'interface ici : https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg912988/#msg912988 (https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg912988/#msg912988)
Normalement, modifiez SN et equipmentID (je pense que cela s'appelle HardwareVersion dans LB5)
Entendu, bon ca reste un joyeux bazar, le patch récurent de pfsense reste une purge à mon sens, je m'attendais à quelque chose de stabilisé, mais je me rends compte que ca deviendra lourd à maintenir.
Je vais attendre une solution plus stable au niveau pfsense, ou un ONT qui supporte enfin le 2,5Gb.
Merci pour les infos, c'est bcp plus clair pour moi.
-
Bonjour, existe-t-il une liste des changements à faire par rapport au premier tuto de 2018? Je cherche à mettre en place un opnsense, il est déjà installé et partiellement configuré mais il semble que certaines infos ne soient plus à jour. Merci d'avance ^^.
-
Toutes mes excuses, je continue de vouloir mettre à jour le tutoriel mais je ne trouve jamais le temps. Notez que si vous allez à Opnsense 22.1, suivez les notes ici.
https://lafibre.info/remplacer-livebox/opnsense-22-1/
Pour 1Gbps
- envoyer une CoS 6 (DSCP 48) sur toutes les requêtes DHCPv4 Request et DHCPv6 Solicit avec les Renew
- faire une requête DHCPv4 sur le Vlan 832 en envoyant les options 60,61,77 et 90 avec les bonnes valeurs
- faire une requête DHCPv6 sur le Vlan 832 en envoyant les options 11,15,16 et 17 avec les bonnes valeurs
-
Toutes mes excuses, je continue de vouloir mettre à jour le tutoriel mais je ne trouve jamais le temps. Notez que si vous allez à Opnsense 22.1, suivez les notes ici.
https://lafibre.info/remplacer-livebox/opnsense-22-1/
Pour 1Gbps
- envoyer une CoS 6 (DSCP 48) sur toutes les requêtes DHCPv4 Request et DHCPv6 Solicit avec les Renew
- faire une requête DHCPv4 sur le Vlan 832 en envoyant les options 60,61,77 et 90 avec les bonnes valeurs
- faire une requête DHCPv6 sur le Vlan 832 en envoyant les options 11,15,16 et 17 avec les bonnes valeurs
Tu as des instructions avec pfsense aussi ?
-
No
-
Pour les petits loulou qui ont du matos et l'envi de faire des choses pas forcement facile:
Un repo git que j'ai créer il y a environ 10-11 mois pour le passage en 2.5Gbps
Le "tuto" est à adapter en fonction du matos et des évolutions depuis 10 mois. Par exemple au lieu d'un G010SP, la même méthode presque à l'identique, peut être réalisé avec un ONT FS, plus besoin de flasher, simplement de set le serial.
https://github.com/akhamar/orange-2500mbps-G010SP
1 ligne - Orange Pro avec cos 6, mac address et options 90
1 ligne - Orange avec juste les classique options 90
Si vous pétez des trucs venez pas me voir pour vous aider, j'aurais pas le temps désolé ;)
-
Salut à tous,
Depuis le passage en 22.1 ma connexion tombe au bout d'une demi journée environ je ne vois pas pourquoi.
J'ai toujours une IP sur mon interface WAN mais plus d'accès à Internet.
Je suis obligé de reboot OPNSense pour que ça reparte.
Si quelqu'un a une idée je suis preneur je sèche là ?
Merci
-
Va voir ce sujet, ça peut potentiellement réglé ton pb : https://lafibre.info/remplacer-livebox/opnsense-22-1/
-
C'est ce que j’ai fait c'est mon interface parente qui spoof la Mac et j’ai viré les options devenues superflues mais c'est toujours pareil...
et les logs sont d’un vide!
-
Essayer
# opnsense-patch 02dc1ebd93
-
Pas d'amélioration avec le patch.
Comme contournement j'ai mis en place un reboot du routeur si la connexion tombe au moins je suis tranquille.
Dans les logs quand la connexion tombe j'ai ça:
dhclient unknown dhcp option value 0x7d
dhclient unknown dhcp option value 0x5a
On dirait que dhclient ne reconnait plus des options DHCP subitement
-
Pas d'amélioration avec le patch.
Comme contournement j'ai mis en place un reboot du routeur si la connexion tombe au moins je suis tranquille.
Salut, peux-tu me dire comment tu as mi ça en place ?
Dans le cas ou j'en aurais besoin lorsque je maj en 22.1.X
-
Salut
Via le cron avec un script qui ping une adresse externe toutes les 5 minutes et si ça répond pas il redémarre l'interface et si ça suffit pas il reboot.
Tout est expliqué dans ce post: https://forum.opnsense.org/index.php?topic=18865.msg86224#msg86224
-
Salut
Via le cron avec un script qui ping une adresse externe toutes les 5 minutes et si ça répond pas il redémarre l'interface et si ça suffit pas il reboot.
Tout est expliqué dans ce post: https://forum.opnsense.org/index.php?topic=18865.msg86224#msg86224
Les fichiers dont il parle ne sont plus / pas dispo dans son post par contre :(
Edit: J'ai rien dit, il faut être log pour les voir !
Merci, ça me fera une solution temporaire si je tombe dans le cas de figure ou le partie WAN perd la connexion !
-
Bonsoir,
ma config: LB5 + ONT de chez orange.
Un shuttle I5 16go de ram avec SSDpour remplacer la box.
un switch netgear POE 24ports
une borne wifi ubiquiti.
un NAS et un Onduleur.
Donc j'ai commencé a parler sur le tuto OPNsense 22.1 mais je pense qu'ici c'est le plus adapté.
En gros je suis bloqué.
J'ai suivis les différents tuto mais de ce que je comprends je ne récupère aucune IP d'orange.
J'ai utilisé le dernier script de Mastah pour generer le "send option"; "request option" le tout sur un OPNsense fraichement installé, en v22.1.1.
Les soucis que je rencontre:
- le serveur DHCP6 ne démarre pas.
- Je ne récupère aucune IP.
J'ai trouvé deux erreurs dans les logs.
1) /status_services.php: Warning! dhcpd_dhcp6_configure() found no suitable IPv6 address on lan
2) interfaces.php: The command '/sbin/dhclient -c '/var/etc/dhclient_wan.conf' -p '/var/run/dhclient.re1_vlan832.pid' 're1_vlan832'' returned exit code '15', the output was 'DHCPDISCOVER on re1_vlan832 to 255.255.255.255 port 67 interval 3 DHCPDISCOVER on re1_vlan832 to 255.255.255.255 port 67 interval 4 DHCPDISCOVER on re1_vlan832 to 255.255.255.255 port 67 interval 9 DHCPDISCOVER on re1_vlan832 to 255.255.255.255 port 67 interval 16.
Je me demande aussi si il y a une modification à faire sur le FW?
merci par avance pour votre aide.
-
Hello,
Malgré encore différents tests et tutos suivis, ca ne fonctionne tjrs pas. je ne récupère aucune IP de chez orange. une idée d'ou chercher ?
Merci
-
Hello,
Malgré encore différents tests et tutos suivis, ca ne fonctionne tjrs pas. je ne récupère aucune IP de chez orange. une idée d'ou chercher ?
Merci
As tu bien suivi ce tuto là : https://lafibre.info/remplacer-livebox/opnsense-22-1/msg929683/#msg929683
Qu'est-ce qui fonctionne et ne fonctionne pas ?
L'IPV4 ok ou KO ?
L'IPV6 ok ou KO ?
-
Bonjour tout le monde !
Je viens d'installer la livebox4 fibre (avec ONT RJ45) et je commencer le transfert vers opnsense en me connectant directement à l'ONT.
J'ai une paire de question :-)
1/
En IPv4, nickel
En IPv6, je sais pas si c'est bon ou pas :-).
- Sur l'interface WAN / VLAN832, opnsense détecte bien un "IPv6 delegated prefix" en /56
- Mon PC recoit bien une adresse IPv6 et je passe le test ici : https://test-ipv6.com/
- Par contre, ma gateway ipv6 ne recoit pas d'adresse ipv6... et donc si j'active le monitoring (j'utilise l'ipv6 d'un DNS google pour le monitoring), il voit la gateway offline.
Est ce que c'est normal ?
2/
J'utilise la chaine sans password pour les optons 90 (ipv4) et option 11 (ipv6).
J'ai voulu essayer avec password (au cas où ca devienne obligatoire dans le futur?) mais sur le site que j'ai suivi, il est question d'un RND SALT (16ascii) et RND byte (1 ascii). Faut il une valeur particulière dans ces champs ou juste une chaine de caractère au pif ?
-
Il n'y a pas d'IPv6 sur le WAN pour Orange. Il est affecté au LAN. Vous pouvez surveiller l'adresse LAN IPv6, c'est ce que je fais
-
Il n'y a pas d'IPv6 sur le WAN pour Orange. Il est affecté au LAN. Vous pouvez surveiller l'adresse LAN IPv6, c'est ce que je fais
Je me doutais de quelque chose dans ce genre (mais pas trop l'habitude, partant d'une freebox). Merci pour l'info !!
Pour la surveillance, vous voulez dire que vous mettez l'ipv6 du LAN en guise de d'ip de monitoring de la gateway ?
-
Oui
-
As tu bien suivi ce tuto là : https://lafibre.info/remplacer-livebox/opnsense-22-1/msg929683/#msg929683
Qu'est-ce qui fonctionne et ne fonctionne pas ?
L'IPV4 ok ou KO ?
L'IPV6 ok ou KO ?
Hello,
Alors oui j'ai suivis le tuto. Premier soucis, mon serveur DHCPv6 ne démarre pas.
IPV4 KO
IPV6 KO.
-
Hello,
Alors oui j'ai suivis le tuto. Premier soucis, mon serveur DHCPv6 ne démarre pas.
IPV4 KO
IPV6 KO.
Peux tu tester sans plein de contrainte qui pourrait poser problème :
- Avec l'ONT d'orange, directement sur un MC220L Tp-Link (ou similaire) afin d'être sur que ce n'est pas le driver bxe, la carte SFP+ etc qui pose souci.
- Tu es peut-être dans une zone ou tu as besoin de mettre l'option DHCP de la MAC + le qos a 6 et l'identifiant 3 fti/xxx+password
Pour résumé, fait le plus simple possible. Et une fois que opnsense arrive a obtenir une IPV4, tu complexifies
-
Bonsoir tout le monde !
J'ai un ONT RJ45 branché directement à mon routeur Opnsense et ca fonctionne impec!
Par contre, je suis à la peine pour faire marcher ma livebox4 sur le LAN (afin d'avoir le tel).
J'essaie de mettre en place la manip du VLAN832 sur mon LAN qui fait office de faux WAN pour la Livebox.
La livebox n'arrive pas à se connecter correctement et m'affiche 'internet indisponible' dans le menu livebox.
J'ai branché le port WAN de la LB (le port marqué fibre) sur un port VLAN832 de mon LAN.
Pour la config opnsense, je me suis inspiré de ce que j'ai trouvé dans ce fil, mais aussi de ces tutos
le paragraphe 7 ici :
https://wiki.csnu.org/index.php/Fibre_orange_en_DHCP_avec_routeur_pfsense#T.C3.A9l.C3.A9phonie_et_t.C3.A9l.C3.A9vision
et l'annexe connecter la livebox derrière un routeur ici:
https://lafibre.info/remplacer-livebox/le-guide-complet-internet-tv-et-telephone-sans-livebox-et-bien-plus-plus/
Donc dans mon DHCP du VLAN832 (le fake coté LAN)
J'ai mis ceci:
(https://i.ibb.co/M1x6r6s/dhcp832-1.png)
(https://i.ibb.co/MRpbVh0/dhcp832-2.png)
+ l'address mac du wan de livebox en ip statique 192.168.100.100
J'ai pris les DNS, les chaines options 90 et 125, et le "TOU" en allant voir dans le fichier /var/db/dhclient.leases.igb1_vlan832 (l'interface connecté à l'ONT).
A noter que pour l'option 125 la chaine semble un peu différente dans mon dhclient par rapport à ce que j'ai vu sur les forum (j'ai essayé les 2)
Pour l'option 120 j'ai remplacé 3 octet au milieu pour mettre "TOU" au lieu de "STR" qu'on voit sur des tutos.
et coté firewall:
(https://i.ibb.co/7VGL6rq/firewall832.png)
J'ai un doute sur la 1ere règle avec la prio 6. j'ai trouvé une note ici:
https://lafibre.info/remplacer-livebox/opnsense-remplacer-livebox-aucune-modification-necessaire/msg581574/#msg581574
Mais j'ai probablement mal interprété (j'ai pas compris ce qu'étais "l'ACL") et donc je ne suis pas sûr de où mettre cette règle pour la prio6.
-
Bon ben j'ai trouvé, c'etait dans les options, j'avais laissé "text" alors que c'est "string" qu'il faut sélectionner...
Je pensais que c'était la même chose qui avait changé de nom au grès d'une évolution mais non, il y a bien les 2.
ici:
(https://i.ibb.co/MRpbVh0/dhcp832-2.png)
-
Il n'y a pas d'IPv6 sur le WAN pour Orange. Il est affecté au LAN. Vous pouvez surveiller l'adresse LAN IPv6, c'est ce que je fais
Oui
Concernant le monitoring de la gateway ipv6, ca n'a pas l'air de marcher.
Dans ma gateway WAN ipv6, j'ai décoché "Disable Gateway Monitoring"
En guise monitoring IP, j'ai mis l'IPv6 de l'interface LAN.
En fait, je n'arrive pas à relancer le "dpinger6" correspondant dans le dashboard, il reste rouge.
J'ai manqué quelque chose ?
-
Concernant le monitoring de la gateway ipv6, ca n'a pas l'air de marcher.
Dans ma gateway WAN ipv6, j'ai décoché "Disable Gateway Monitoring"
En guise monitoring IP, j'ai mis l'IPv6 de l'interface LAN.
En fait, je n'arrive pas à relancer le "dpinger6" correspondant dans le dashboard, il reste rouge.
J'ai manqué quelque chose ?
Bonjour!
Bon je n'ai jamais réussi à faire fonctionner le monitoring du WAN ipv6 en utilisant l'adresse ipv6 attribué au LAN....par contre j'ai testé avec fe80::ba0:bab et ca marche comme ip de monitoring.
J'ai cru comprendre qu'il s'agit de l'adresse link local de la gateway coté orange?
-
Oui, c’est l’adresse link local de la gateway.
-
Hello, si quelqu'un passe par là et à un setup fonctionnel de TV.
Puis-je avoir un peu d'aide (https://lafibre.info/remplacer-livebox/opnsens-demande-aide-tv-live/) le live ne fonctionne pas et je ne comprends pas pourquoi.
-
Hello,
J'ai enfin réussi à faire fonctionner les VLANs avec xcp-ng, mais j'ai un problème bisard.
Je reçois bien le préfix ipv6, mais aucune ip n'est pas attribué sur l'interface LAN. Et il est bien router vers chez moi, les paquets ipv6 arrivent.
Pour le wan,
Dans dhcp6 basic, j'ai mis la taille du prefix 56 et le pcp6. J'ai essayé avec uniquement délégation coché et décoché.
Dans dhcp6 advanced j'ai mis ce qu'il y'a dans le tuto. https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html
Si quelqu'un a une idée ?
[EDIT]
Le problème : https://lafibre.info/opnsense/bug-dans-dhcp6c/ :)
-
Hello, si quelqu'un passe par là et à un setup fonctionnel de TV.
Puis-je avoir un peu d'aide (https://lafibre.info/remplacer-livebox/opnsens-demande-aide-tv-live/) le live ne fonctionne pas et je ne comprends pas pourquoi.
La TV fonctionne chez moi, j'ai longtemps cherché pour savoir pourquoi ça ne marchait pas alors que je suivais tous les tuto. Je me suis mis à sniff les paquets et comparer les différences avec la livebox et OPNsense. Bizarrement j'avais des erreurs SSL avec OPNsense quand je changeais de chaine et rien ne fonctionnait.
Je suis allé dans System>Firmware>Settings et en Flavour j'ai sélectionné LibreSSL à la place de default (qui est OpenSSL).
Save et reboot.
J'ai allumé mon décodeur et là ça marche.
-
Bonjour à tous,
Tout d'abord un grand merci aux contributeurs pour la mine d'information qu'est ce forum.
Je viens solliciter votre aide (expertise) car je me retrouve face à un problème que je ne m'explique pas.
config: opnsense 22.4.3_1 sur un routeur de la marque (architecture intel, ca a peut être son importance) équipé de l'onu FS 34-20BI. Pour la configuration de l'onu je dispose également du mc220l.
Lorsque l'onu est installé dans une cage stp du routeur, la connexion a tenu jusqu'à présent 45 min maxi...
La meme configuration (je change juste l'interface parent dans la config du vlan 832 et celle dans option modifier) avec l'onu dans le mc220l et je ne rencontre aucun soucis...
Pour information je n'ai pas configuré DHCPV6 , la config est uniquement DHCP.
Concernant le problème en lui même donc, au bout d'un temps aléatoire, j'ai l'impression que les routes sont supprimées et je perds définitivement la connexion internet. Seul un reboot du routeur permet de remettre le tout en fonctionnement 'normal' durant x min (j'ai essayé de relancer les services mais rien n'y fait d'où le reboot).
J'ai bien des erreurs suspectes dans le dmesg mais je ne trouve pas d'information à ce sujet et à priori cela n'empêche pas la connexion de s'établir.
je joins une capture d'écran de la syslog et le dmesg. Chose étrange, le dmesg indique le numéro de série d'origine de l'onu alors que je l'ai remplacé par celui de la box.
L'un de vous aurait-il une piste car j'avoue que je sèche.
merci d'avance à tous
-
re bonjour
à priori le problème de reconnexion du client DHCP semble réglé avec la dernière version d' opnsense (22.10). Test ok avec le routeur derrière la LB et ok avec le mc220. (simulation perte de connexion. la connexion remonte bien sur le routeur sans intervention manuelle)
Le problème initial de perte de l'onu semble lié à un défaut d'alimentation électrique lorsque branché dans le routeur.
bonne soirée
-
La TV fonctionne chez moi, j'ai longtemps cherché pour savoir pourquoi ça ne marchait pas alors que je suivais tous les tuto. Je me suis mis à sniff les paquets et comparer les différences avec la livebox et OPNsense. Bizarrement j'avais des erreurs SSL avec OPNsense quand je changeais de chaine et rien ne fonctionnait.
Je suis allé dans System>Firmware>Settings et en Flavour j'ai sélectionné LibreSSL à la place de default (qui est OpenSSL).
Save et reboot.
J'ai allumé mon décodeur et là ça marche.
Merci de ta réponse (et désolé que la mienne soit si tardive) malheureusement ça n'a rien changé, je commence à désespérer, Replay toujours OK mais pas moyen d'avoir le live, le tuto d'opnsense semble outdated car d'après certains commentaires ici seule la VLAN 840 est nécessaire (le tuto en présente 2) :'(
EDIT: j'ai découvert qu'il fallait faire une MaJ en plus de changer le paramètre mais ça ne m'a pas plus avancé
-
Salut à tous,
Ça fait quelques jours que je galère avec la MAJ de "l'option 90". J'ai bien :
- mon IPv6 sur la partie LAN
- mon OPNsense qui ping de l'ipv6 sur internet
Par contre, impossible d'avoir une ipv6 sur une machine de mon LAN (ce qui fonctionnait bien pendant un temps).
Send Options:
dhcp-class-identifier "sagem",user-class "+FSVDSL_livebox.Internet.softathome.Livebox4",raw-option 61 XX:XX,option-90 XX:XX
Les options sont en version longue et viennent de l'application LiveBoxInfos.
Request Options:
subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search,routers,domain-name-servers,option-90
Option Modifiers:
vlan-parent "igb0",vlan-id 832,vlan-pcp 6
Send Options:
ia-pd 0,raw-option 15 XX:XX,raw-option 16 XX:XX,raw-option 11 XX:XX,raw-option 17 XX:XX
Prefix Delegation
id-assoc pd ID:
0
Prefix Interface Site-Level Aggregation Length
0
ou
8
Cela ne change rien dans le réseau (mes machines n'ont pas ipv6). Mais l'interface LAN change bien de netmask.
Et je suis en :
OPNsense 22.7.9_3-amd64
FreeBSD 13.1-RELEASE-p5
OpenSSL 1.1.1s 1 Nov 2022
J'ai lu plein de threads dans tous les sens, essayé pas mal de chose. Reboot pas mal de fois. Aucune amélioration coté postes clients.
Une idée ? :-\
Parce que là, je craque un peu... >:(:o
-
Hello,
Je dispose d'une infra proxmox 7.3 ou je virtualise opnSense.
Sur le routeur, j'ai mis la carte BCM57810S NIC en passthrough et appliqué le patch pour supporter le 2,5G
Quand je fais des tests de debit depuis la VM opnSenes, le download est de 2Gb/s par contre l'upload à 100Mb/s.
Par contre depuis PVE ou même depuis un container LXC, j'ai les bons débits (2Gb et 600Mb).
J'ai également testé avec une carte réseau virtio, j'obtiens les mêmes résultats.
Ce problème se produit uniquement avec les VMs KVM.
Version de proxmox :
pve-manager/7.3-3/c3928077 (running kernel: 5.15.74-1-pve)
Config de la VM opnSense :
agent: 1
boot: c
bootdisk: scsi0
cores: 1
machine: q35
memory: 4096
meta: creation-qemu=7.1.0,ctime=1671467720
name: opnsense
net0: virtio=XX:XX:XX:XX:XX,bridge=vmbr0
net1: virtio=76:D4:78:72:6F:2C,bridge=vmbr1
net2: virtio=06:0E:21:0C:6F:4B,bridge=vmbr1,tag=30
numa: 0
onboot: 1
scsi0: local-lvm:vm-254-disk-0,size=15G
scsihw: virtio-scsi-pci
smbios1: uuid=04eac668-3a62-4993-9e52-68f38bb67be0
sockets: 4
tablet: 0
vmgenid: 54e8a382-7ea7-46cc-9356-420db48ae3ca
Config interfaces proxmox :
auto lo
iface lo inet loopback
iface enp7s0f1 inet manual
up sleep 5; ethtool -s enp7s0f1 speed 1000 duplex full autoneg off
iface eno1 inet manual
iface eno2 inet manual
iface enp7s0f0 inet manual
up sleep 5; ethtool -s enp7s0f0 speed 2500 duplex full autoneg off
auto vmbr0
iface vmbr0 inet static
address 192.168.1.254/24
bridge-ports enp7s0f0
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
#WAN
auto vmbr1
iface vmbr1 inet static
address 172.16.0.71/24
gateway 172.16.0.254
bridge-ports eno1
bridge-stp off
bridge-fd 0
bridge-vlan-aware yes
bridge-vids 2-4094
#LAN
iface vmbr1 inet6 static
address 2a01:cb10:863d:7500::71/64
gateway 2a01:cb10:863d:7500::254
Quelqu'un a déjà rencontré ces problèmes de débits ?
-
Je souhaiterai faire le point avec les personnes possédant un routeur avec OPNsense d'installé.
Modifications effectué en 2018 de l'option 90 (DHVPv4) et 11 (DHCPv6) généré avec le script : https://jsfiddle.net/kgersen/3mnsc6wy/
Suite au sujet "Durcissement du contrôle de l’option 90/11 et de la conformité protocolaire", voici les modifications effectués récemment
Ajout de l'option 61 (DHVPv4) et 1 (DHCPv6) comme ci-dessous :
DHCPv4 : dhcp-client-identifier 1:04:E3:XX:XX:XX:XX
DHCPv6 : raw-option 1 00:03:00:01:04:E3:XX:XX:XX:XX
Ajout de l'option 125 dans Request Options (DHVPv4)
Plusieurs question me vienne en tête, afin de garantir le bon fonctionnement une fois ma zone basculée.
Si j'ai bien suivi, les options ajoutés ci-dessus sont correcte ou j'ai oublié quelque chose ?
Le format des valeurs renseignés dans dhcp-client-identifier et raw-option 1 sont correcte (avec les : ) ?
J'ai renseigné la MAC située derrière la Livebox pour l'option 61 (DHVPv4) et 1 (DHCPv6). Dois-je spoofer l'adresse MAC de l'interface WAN en renseignant la MAC de la Livebox dans le champ MAC ?
Merci par avance pour les informations que vous apporterez concernant mon message.
-
Ma zone a basculé et les options que tu indiques fonctionnent.
-
Bonjour,
Il semble que ma zone a été basculée la semaine dernière, puisque j'ai perdu mon IPv6
@Reymouth
Pour répondre à ta question: Dois-je spoofer l'adresse MAC de l'interface WAN en renseignant la MAC de la Livebox dans le champ MAC ?
Il semble que non selon @levieuxatorange
https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg989811/#msg989811
À mon tour de poser les questions :)
- À quoi correspond le début de la chaine du dhcp-client-identifier 1:04:E3:XX:XX:XX:XX
- Même question concernant la raw-option 1 00:03:00:01:04:E3:XX:XX:XX:XX
- Où peut-on consulter les logs des "Request Options" (option-125, option-17) qui semble nous aider à mieux comprendre les échanges DHCP
Par avance, merci.
-
- À quoi correspond le début de la chaine du dhcp-client-identifier
1:04:E3:XX:XX:XX:XX
01 : Hardware Type Ethernet
04:E3:XX:XX:XX:XX : Adresse MAC Livebox
- Même question concernant la raw-option 1 00:03:00:01:04:E3:XX:XX:XX:XX
00 03 : DUID Type
00 01 : Hardware Type Ethernet
04:E3:XX:XX:XX:XX : Adresse MAC Livebox
-
Merci tucs pour ton retour, je croise les doigts
-
Merci @tucs pour tes explications.
J'ai ajouté les options de @Reymouth, en plus des options 90 et 11 en version longue. Suite à un reload, j'ai obtenu une connexion IPv4 et IPv6 stable. Cependant, je ne peux pas être sûr que ce paramétrage a résolu mon problème en raison de la pauvreté des logs de dhcpclient et dhcp6c dans OPNsense.
Je trouve également ces deux lignes dans les logs qui m'interpellent:
"2023-01-26T13:39:40 dhclient[55215] unknown dhcp option value 0x7d"
"2023-01-26T13:39:40 dhclient[55215] unknown dhcp option value 0x5a"
En décimal, cela semble être l'option 90 et 125, mais je n'en sais pas plus.
-
Bonjour,
Je m'arrache les cheveux avec les dernières modifications de Orange. Tout était très stable sur OPNSense et là j'ai une déconnection toutes les 24H. J'ai essayé d'ajouter les nouvelles valeurs nécessaires pour l'autentification mais rien n'y fait.
Initialement j'avais utilisé le petit logiciel sous Windows pour collecter toutes les chaines de la vrai LiveBox.
Est-ce que quelqu'un peut vérifier mes paramètres ?
Pour poster ici j'ai utilisé des login/password/MAC fictifs:
Login: fti/2wlubwa
Password: 101112
MAC address: 44:D4:54:21:45:15
Chaine 90 depuis https://jsfiddle.net/kgersen/3mnsc6wy/ (SALT: 1234567890123456, Byte: A) : 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0D:66:74:69:2F:32:77:6C:75:62:77:61:3c:12:31:32:33:34:35:36:37:38:39:30:31:32:33:34:35:36:03:13:41:f1:43:76:45:87:44:6d:75:61:b6:4f:50:68:a0:e2:82
Paramètres de l'interface WAN832
IPv4 / Send Options
dhcp-class-identifier "sagem",user-class "+FSVDSL_livebox.Internet.softathome.Livebox6",option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0D:66:74:69:2F:32:77:6C:75:62:77:61:3c:12:31:32:33:34:35:36:37:38:39:30:31:32:33:34:35:36:03:13:41:f1:43:76:45:87:44:6d:75:61:b6:4f:50:68:a0:e2:82, option-77 2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:34,dhcp-client-identifier 1:04:E3:44:D4:54:21:45:15
IPv4 / Request Options
subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search, routers,domain-name-servers,option-90,option-120,option-125, option-77, option-60, option-61
IPv4 / Option Modifiers
vlan-pcp 6
IPv6 / Send Options
ia-pd 0,raw-option 6 00:0b:00:11:00:17:00:18,raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:34,raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d,raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:63:68:34:39:33:72:67:3c:12:40:76:3f:73:27:5a:64:5e:4b:78:65:39:5c:56:65:78:03:13:34:00:c9:87:b2:29:a3:db:dd:14:71:13:5f:1a:30:40:34,raw-option 1 00:03:00:01:04:E3:44:D4:54:21:45:15
Merci
-
Je m'arrache les cheveux avec les dernières modifications de Orange. Tout était très stable sur OPNSense et là j'ai une déconnection toutes les 24H. J'ai essayé d'ajouter les nouvelles valeurs nécessaires pour l'autentification mais rien n'y fait.
vérifiez que votre installation est conforme aux dernières mises à jour du réseau Orange :
https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/ (https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/)
-
J'ai corrigé mon post précédent, je me suis aperçu qu'en ipv4, il ne fallait pas rajouter le 1: dans le dhcp-client-identifier.
-
vérifiez que votre installation est conforme aux dernières mises à jour du réseau Orange :
Je pense avoir suivi les recommandations. Est-ce que vous ne pensez pas que j'ai des choses en trop dans mes lignes de configuration ?
-
Je pense avoir suivi les recommandations. Est-ce que vous ne pensez pas que j'ai des choses en trop dans mes lignes de configuration ?
Bonjour,
Exactement le même problème, perte de connexion toutes les 24 heures, un reboot la fait revenir avant que ça recommence. Avez vous trouvé quelque chose ?
-
J'ai mis en place un script pour faire un reboot en cas de perte de connection. Le simple ifconfig igc0 up; ifconfig igc0 down ne marche pas.
Tout était si stable avant. Est-ce que le passage à OPNSense 23.1 y est pour quelque chose ?
Sinon la coupure arrive avant les 24 heures:
Ping Failed at 2023-02-11.00:16:41 uptime: 84667 seconds
Rebooting!
Ping Failed at 2023-02-11.23:48:41 uptime: 84650 seconds
Rebooting!
-
Pour info je suis en opnsense, avec l'ont orange en amont, et depuis que j'ai mis à jour ma conf jeudi suite à la mise a jour côté Sosh, je n'ai pas de coupure toutes les 24h.
Il doit donc vous manquer quelque-chose (la stack IPv6 est bien configuré ? La mac envoyé en identifier est bien celle là livebox originale ?)
-
J'utilise un ONT non Orange qui monte à 2.5Gb (ONT GPON LXT-010H LEOX) et sur lequel j'ai flashé les valeurs GPON_SN, PON_VENDOR_ID et HW_HWVER qui viennent de la LiveBox originale.
J'obtiens une adresse IPv6 sur l'interface WAN 832 et sur le LAN mais pas sur la gateway WAN 832 DHCP6. Est-ce cela semble correct ?
Pour l'identifier, j'utilise une chaine qui commence par 04 et non plus par 01 (modifié par l'auteur suite à son post) et avec l'adresse MAC de la Livebox original (adresse MAC ficitive 44:D4:54:21:45:15 ci-dessous pour le post).
dhcp-client-identifier 04:E3:44:D4:54:21:45:15
Est-ce que votre identifier commence par "1:04:E3" ou "04:E3"
(https://i.postimg.cc/9FGdpv0k/opnsens-livebox.png)
-
Et sinon, IPv6 fonctionne ou pas ?
L'adresse de la gateway en IPv6 n'est pas retournée par le serveur DHCP chez Orange, mais est obtenue par le routeur en écoutant les paquets ICMP RA (Router Advertisement). C'est d'ailleurs une adresse de "Link local" identique sur tous les routeurs d'accès d'Orange: fe80::ba0:bab. Il est possible qu'OPNsense n'affiche tout simplement pas ce type d'adresse.
Et d'ailleurs, en passant, aucun intérêt d'avoir une adresse sur l'interface WAN en IPv6, sauf à vouloir gaspiller 2^64 -1 adresses.
-
Bonsoir,
IPv6 fonctionnel chez moi malgré ces symptômes. J'utilise l'ONT Sosh. OPNsense 23.1_6.
Pour info je suis en opnsense, avec l'ont orange en amont, et depuis que j'ai mis à jour ma conf jeudi suite à la mise a jour côté Sosh, je n'ai pas de coupure toutes les 24h.
Il doit donc vous manquer quelque-chose (la stack IPv6 est bien configuré ? La mac envoyé en identifier est bien celle là livebox originale ?)
Justement concernant cette adresse MAC et cette option 1 Client Identifier, je remarque quelque chose de curieux en capturant les paquets lors d'un Release/Renew. Sur le paquet DHCPv6 Solicit XID, le "Client Identifier" apparaît deux fois :
(https://i.postimg.cc/CKG2kf5d/Capture-d-cran-2023-02-13-003657.png)
Ce qui est vraiment bizarre c'est que le premier Client identifier contient l'adresse MAC de mon interface LAN. Le deuxième Client Identifier lui correspond bien à la MAC de ma livebox que j'envoie via la raw-option 1. Cela doit sans doute poser problème ?
Quelle version d'OPNsense utilisez-vous ? Serait-il possible d'avoir un récapitulatif de vos champs Send Options et Request Options (et surtout le format utilisé pour chaque option) svp ? Après avoir parcouru le sujet sur le durcissement du contrôle des options, je ne suis plus vraiment sûr lesquelles sont obligatoires car beaucoup sont citées. Voici les miennes :
DHCP send options :
dhcp-class-identifier "sagem",
user-class "+FSVDSL_livebox.Internet.softathome.Livebox4",
option-90 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:,
dhcp-client-identifier 01:XX:XX:XX:XX:XX:XX # ici XX:XX:XX:XX:XX:XX est l'adresse MAC de ma livebox
DHCP request options:
subnet-mask,
broadcast-address,
dhcp-lease-time,
dhcp-renewal-time,
dhcp-rebinding-time,
domain-search,
routers,
domain-name-servers,
option-90,
option-120,
option-125
DHCPv6 send options :
ia-pd 0,
raw-option 6 00:0b:00:11:00:17:00:18,
raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:34,
raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d,
raw-option 11 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx,
raw-option 1 00:03:00:01:XX:XX:XX:XX:XX:XX # ici XX:XX:XX:XX:XX:XX est l'adresse MAC de ma livebox
raw-option 17 00:00:05:58:00:06:00:0e:49:50:56:36:5f:52:45:51:55:45:53:54:45:44
Bien à vous
-
La configuration qui fonctionne chez moi (mais évidemment, c'est sans garantie, ca peut dépendre de la rigueur de l'équipement sosh/orange en amont de votre installation) :
En ipv4:
dhcp-class-identifier "sagem",user-class "+FSVDSL_livebox.Internet.softathome.Livebox4",option-90 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx,dhcp-client-identifier 01:yy:yy:yy:yy:yy:yy
Request options:
subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search, routers,domain-name-servers,option-90,option-15,option-120,option-125
Options modifiers:
vlan-parent "igb1",vlan-id 832, vlan-pcp 6
En ipv6:
ia-pd 0,raw-option 6 00:0b:00:11:00:17:00:18,raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:34,raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d,raw-option 11 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx,raw-option 1 00:03:00:01:yy:yy:yy:yy:yy:yy
yy:yy:yy:yy:yy:yy étant l'adresse MAC de la livebox (et pas de l'ont), qui commence par A4:3E:....
et xx:xx:xx... la chaine fournie par https://jsfiddle.net/kgersen/3mnsc6wy/ (avec le bon mot de passe !)
Pas d'ipV6 sur l'interface wan (fe80::201:c0ff:fe29:6fc9/64) mais il faut mettre l'interface LAN en IPv6 Configuration Type : Track Interface.
-
Merci pour le résumé c'est super sympa. J'essai cela dès que je rentre de congés car je n'ai pas trop envie de jouer à distance.
-
Bonjour,
Exactement le même problème, perte de connexion toutes les 24 heures, un reboot la fait revenir avant que ça recommence. Avez vous trouvé quelque chose ?
Bonjour
Caractéristique d'un RENEW (v4 ou v6) pas conforme détecté comme tel ou statut dans les bases pourris. Ici plus probablement le RENEW qui est mauvais.
Avec déconnexion du réseau.
L'attendu (avec une vraie LB) est que la LB revienne seule dans les 140s et que cela remonte seul.
LeVieux
-
Pour ceux qui ont le bug sur opnsense, en attendez vous pouvez juste ajouter la route par défaut pour "réparer".
route add default 193.251.x.x
J'ai le même soucis que beaucoup, DHCP renew toutes les 24h et des erreurs d'options.
Pour autant, la connexion fonctionne bien, il me suffit juste de remettre la route par défaut.
J'ai aussi changé le script /sbin/dhclient-script car il y a eu des patchs justement sur des route delete mais dans /usr/local/opnsense/scripts/interfaces/dhclient-script.
Je ne sais pas lequel est utilisé alors dans le doute j'ai copié celui d'opensense dans /sbin mais sans succès sur la résolution du pb.
Je vais essayer de me conformer au nouveau protocole pour les options DHCP en espérant que ça corrige le soucis.
-
J'ai mis en place la configuration proposée par meepmeep et utilisé le bon login/password (j'utilisai un vieux login/password pour la génération de l'option 90).
Cela avait l'air de bien fonctionner et je n'ai pas perdu la connection pendant 3 jours et là cela vient de tomber à nouveau.
-
Hello, j'ai un problème similaire depuis la màj à OPNSense 23.1
Tous les soirs je perds la connectivité IPv4 avec des réponses "no route to host" du routeur.
IPv6 continue à fonctionner correctement.
Un simple renouvellement du bail DHCP depuis l'interface résoud le problème. (Interfaces -> Overview -> WAN_interface -> "Reload")
J'ai remarqué qu'OPNSense n'avait plus de route par défaut pour IPv4.
Un certain nombre d'utilisateurs remontent un problème similaire sur le forum OPNSense dans le fil suivant : Default ipv4 route drop when WAN dhcp renew (https://forum.opnsense.org/index.php?topic=32347.15).
Il y a un correctif proposé en test, je viens seulement de l'appliquer, je ne saurais que ce soir si il corrige le problème ou pas.
-
Hello, j'ai un problème similaire depuis la màj à OPNSense 23.1
Tous les soirs je perds la connectivité IPv4 avec des réponses "no route to host" du routeur.
IPv6 continue à fonctionner correctement.
Un simple renouvellement du bail DHCP depuis l'interface résoud le problème. (Interfaces -> Overview -> WAN_interface -> "Reload")
J'ai remarqué qu'OPNSense n'avait plus de route par défaut pour IPv4.
Un certain nombre d'utilisateurs remontent un problème similaire sur le forum OPNSense dans le fil suivant : Default ipv4 route drop when WAN dhcp renew (https://forum.opnsense.org/index.php?topic=32347.15).
Il y a un correctif proposé en test, je viens seulement de l'appliquer, je ne saurais que ce soir si il corrige le problème ou pas.
Merci pour le lien. Quel patch avez-vous appliqué ? Ça refonctionne pour vous ? Je viens d'appliquer le 90f1d1d766, je tiendrai informé de l'évolution.
@meepmeep, quelle est votre version d'OPNsense où ça fonctionne svp ?
EDIT 02/03/2023 : ça a l'air de tenir depuis le patch.
-
Merci pour le lien. Quel patch avez-vous appliqué ? Ça refonctionne pour vous ? Je viens d'appliquer le 90f1d1d766, je tiendrai informé de l'évolution.
@meepmeep, quelle est votre version d'OPNsense où ça fonctionne svp ?
Bonsoir, j'ai appliqué le patch 90f1d1d766 également.
Je ne sais encore pour l'effet du patch, ayant dû arrêter et redémarrer mon routeur plusieurs fois pour d'autres raisons.
-
En lien avec ce message (https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg1004778/#msg1004778) et vos echanges j'ai pu réparer ma connexion Orange qui avait sauté cette nuit (à priori migration).
ipv4 + ipv6 ok je suis en opnsense 22.7.11
j'attends pour passer en 23.1 suite à vos problèmes de pertes de connexion toutes les 24h.
-
J'ai aussi appliqué le patch 90f1d1d766 le 26/02 et pas de perte de connexion à ce jour (01/03) alors qu'auparavant c'était toutes les 24H. J'attends encore quelques jours avant de crier victoire.
-
03 mars et toujours pas de déconnexion depuis le 26/02 avec le patch.
-
ipv4 + ipv6 ok je suis en opnsense 22.7.11
pas de déconnexion après 36h on peut donc conclure que le pb est bien sur la 23.1 et vu vos retours le patch 90f1d1d766 semble régler le pb.
je vais donc attendre une version 23.1.X incluant ce patch :)
-
il existe une version plus récente du patch
https://forum.opnsense.org/index.php?topic=32347.52
# opnsense-revert opnsense && opnsense-patch 737d8f3aabb f187bcb814d && service configd restart
-
Hello,
Utilisateur Orange Fibre Home, PFSense était fonctionnel en IPv4 only jusqu'à la semaine dernière, supposément après migration Orange.
En essayant de passer en IPv4+IPv6, google m'a indiqué que le dhcp6c pfsense nétait pas capable de gérer les raw-options, du coup test d'OPNsense qui lui sait faire.
Ma config :
Dell Optiplex 7040 - Core i7 6700 32Go RAM et 1To SSD SATA
10Gtek 10GbE PCIE Broadcom 57810S Dual SFP+
FS GPON-ONU-34-20BI -- Livebox MAC et speed 2.5 Gbs
Hyperviseur Proxmox 7.3 avec VM q35 OPNsense 23.1.1_2 carte 10Gb en PCI Passthrough
Tout est fonctionnel en 2.5GBs, merci à :
- Mastah pour le module kernel bxe fonctionnel en 2.5Gb
- nivek1612 pour la FP
- levieuxatorange pour son recap sur Orange DHCP conformité protocolaire 2023
- meepmeep pour son post #725 et sa config fonctionnelle
-
Hello,
Y-a-t-il des gens a qui arrive à avoir l'option 120, dans le fichier de lease (/var/db/dhclient.leases.**) ?
-
L'option 120 est sensée ne plus être utilisée par la box depuis au moins 2 ans, peut-être que finalement ils l'ont supprimée. On a déjà expliqué dans un sujet par quoi elle est remplacée (je crois que c'est le même que celui dédié à l'option 90).
-
Ha ba j'avais zappé l'info, trop de changement chez Orange. Du coup je ne la demande plus, vu que rien n'arrive.
-
La LB demande toujours l'option 120 dans son dhcp request, mais effectivement elle n'est plus fournie dans la réponse dhcp offer d'orange depuis longtemps.
-
OPNsense 23.1.2 a été officialisé avec les patchs pour les problèmes de DHCP https://forum.opnsense.org/index.php?topic=32845.msg159009#msg159009
-
La configuration qui fonctionne chez moi (mais évidemment, c'est sans garantie, ca peut dépendre de la rigueur de l'équipement sosh/orange en amont de votre installation) :
En ipv4:
dhcp-class-identifier "sagem",user-class "+FSVDSL_livebox.Internet.softathome.Livebox4",option-90 xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx,dhcp-client-identifier 01:yy:yy:yy:yy:yy:yy
Request options:
Options modifiers:
En ipv6:
yy:yy:yy:yy:yy:yy étant l'adresse MAC de la livebox (et pas de l'ont), qui commence par A4:3E:....
et xx:xx:xx... la chaine fournie par https://jsfiddle.net/kgersen/3mnsc6wy/ (avec le bon mot de passe !)
Pas d'ipV6 sur l'interface wan (fe80::201:c0ff:fe29:6fc9/64) mais il faut mettre l'interface LAN en IPv6 Configuration Type : Track Interface.
Bonsoir,
Pour une livebox5 fibre, quelle est la chaine exacte à définir ?
dhcp-class-identifier "sagem",user-class "+FSVDSL_livebox.Internet.softathome.Livebox4"
Concernant les options 60, 61 et 77, faut-il les ajouters à la chaine ?
Merci beaucoup,
-
Bonjour,
Comme plusieurs personne ici depuis quelques temps ma connection saute au bout d'un peu moins de 24h. J'ai mis à jour Opnsense vers la dernière version mais le problème persiste.
Je viens de m'apercevoir que j'ai 2 leases sur mon interface avec `dhcp-renewal-time` differents et les 3 dernières lignes `renew` `rebind` `expire`.
root@OPNsense:~ # cat /var/db/dhclient.leases.igb1_vlan832
lease {
interface "igb1_vlan832";
fixed-address X.X.X.X;
next-server X.X.X.X;
option subnet-mask 255.255.252.0;
option routers X.X.X.X;
option domain-name-servers X.X.X.X,X.X.X.X;
option host-name "OPNsense";
option broadcast-address X.X.X.X;
option dhcp-lease-time 604800;
option dhcp-message-type 5;
option dhcp-server-identifier X.X.X.X;
option dhcp-renewal-time 89674;
option dhcp-rebinding-time 483840;
option dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;
option option-90 0:0:0:0:0:0:0:0:0:0:0:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;
option domain-search "MSR.access.orange-multimedia.net.";
option option-125 0:0:5:58:c:1:a:0:1:0:0:0:0:0:0:0:0;
renew 6 2023/3/18 14:39:49;
rebind 0 2023/3/19 09:20:41;
expire 5 2023/3/24 13:45:15;
}
lease {
interface "igb1_vlan832";
fixed-address X.X.X.X;
next-server X.X.X.X;
option subnet-mask 255.255.252.0;
option routers X.X.X.X;
option domain-name-servers X.X.X.X,X.X.X.X;
option host-name "OPNsense";
option broadcast-address X.X.X.X;
option dhcp-lease-time 604800;
option dhcp-message-type 5;
option dhcp-server-identifier X.X.X.X;
option dhcp-renewal-time 83263;
option dhcp-rebinding-time 483840;
option dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;
option option-90 0:0:0:0:0:0:0:0:0:0:0:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;
option domain-search "MSR.access.orange-multimedia.net.";
option option-125 0:0:5:58:c:1:a:0:1:0:0:0:0:0:0:0:0;
renew 0 2023/3/19 14:24:47;
rebind 1 2023/3/20 07:45:29;
expire 6 2023/3/25 15:17:04;
}
Je n'arrive pas à savoir pourquoi il y a 2 leases quasiment identique. Aujourd'hui pour relance ma connection je peux cliquer sur Interfaces -> Overview -> WAN -> Reload. And it works again with the same IP as before.
Je joue avec `tcpdump` et je vois bien des `dhcp6 renew` mais rien sur IPv4.
J'ai bien mis à jour ma configuration en suivant https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/
Bonjour
Caractéristique d'un RENEW (v4 ou v6) pas conforme détecté comme tel ou statut dans les bases pourris. Ici plus probablement le RENEW qui est mauvais.
Avec déconnexion du réseau.
L'attendu (avec une vraie LB) est que la LB revienne seule dans les 140s et que cela remonte seul.
LeVieux
Je suppose que le soucis vient peut être du renew v6 voici le packet (je n'arrive pas à dump le packet en v4, je vais essayer de le faire aujourd'hui depuis OPNsense):
16:08:29.577752 MY:LI:VE:BO:XX:XX > 33:33:00:01:00:02, ethertype IPv6 (0x86dd), length 313: (hlim 1, next-header UDP (17) payload length: 259) fe80::7ec1:77ff:fea0:5b30.546 > ff02::1:2.547: [bad udp cksum 0x4f2d -> 0x103f!] dhcp6 renew (xid=17a5a5 (client-ID hwaddr/time type 1 time 731881674 000db9559df8) (server-ID hwaddr type 1 0ca402e6955b) (elapsed-time 65535) (IA_PD IAID:0 T1:89674 T2:483840 (IA_PD-prefix XXXX:XXXX:XXX:XXX::/56 pltime:604800 vltime:604800)) (option-request authentication vendor-specific-info DNS-server DNS-search-list) (user-class) (vendor-class) (authentication proto: 0, alg: 0, RDM: mono, RD: 0000 0000 0000 0000 ??) (client-ID hwaddr type 1 7cc177a05b30))
Si quelqu'un a une idée je suis preneur, pour l'instant tout les jours je redemarre l'ONT ou me connect sur OPNsense pour appuyer sur le bouton `Reload`.
-
Hello j'ai le meme problemme que vous recement c'est a dire un drop de route au bout de 24h (lors du rennew quoi) donc j'ai regarder j'ai farfouillé un peu je suis en 23.1.3 donc un des bug a ete patch mais la en lisant et en capturant la lb5 et mon opnsense j'ai 2 trois truc qui me perturbent sur mon opnsense le solicit du dhcpv6 part avec 2 "client Identifier" diffèrent et la lb5 avec un seul et le duid de la box et je n'ai pas trouver de paramètre pour le duid a par pour le set dans dhcpv6 bref sis certain on des réponse/Solution/indice a mon problème je suis preneur car le reload tout les 24h la ca devient relou Merci
-
Bonjour,
Le drop de 24h serait fixé par la version 23.1.2 disponible depuuis le 7 Mars à priori.
https://forum.opnsense.org/index.php?topic=32347.60
Quelqu'un peut confirmer ?
Merci
-
Bonjour,
Le drop de 24h serait fixé par la version 23.1.2 disponible depuuis le 7 Mars à priori.
https://forum.opnsense.org/index.php?topic=32347.60
Quelqu'un peut confirmer ?
Merci
Bonjour,
Je tournais en 23.1.1 avec le patch mentionné plus haut et n'avais plus de problèmes.
J'ai mis à jour en 23.1.3 il y a deux jours et j'ai de nouveau le problème de perte de connexion toutes les 24h - au détail près que cette fois-ci j'ai bien la route par défaut.
Un simple "reload" du dhcp sur l'interface suffit à récupérer la connexion.
Ça me laisse perplexe.
-
Hello je revien sur mon problemme sur les deco toute les 24h en opnsense 23.1.3
Au final pour avoir qu'un seul dhcp-client-identifier (DUID) sur le dhcp v6 j'ai du le sortir de mon send option et le definir dans les parametre generaux du dhcpv6
(https://i.imgur.com/SmRuVGg.png)
un reboot du routeur et a voir si ca tient les 24h
-
Hello,
pareil, suis en 23.1.3 avec deco toutes les 24h (plus ou moins 30mn).
du coup, capture tcpdump jusqu'au renew DHCP. on y voit :
1. en effet un double Client-Identifier lors des DHCPv6 renew :
- un DUID-LLT (Link-Layer avec time)
- un DUID-LL (Link-Layer)
vais tester de mettre le DUID-LL forcé dans les paramètres géneraux comme toi, et d'enlever dans le send option
2. une priorité VLAN/DSCP non respectée, un ticket github est même ouvert sur ce point : https://github.com/opnsense/core/issues/6292 (https://github.com/opnsense/core/issues/6292)
même après avoir rajouté les règles de FW sur l'interface WAN, rien n'y fait
(https://i.postimg.cc/4xF40s7t/cos6.png) (https://postimages.org/)
avec l'option avancée
(https://i.postimg.cc/Qdymd4n5/regle.png) (https://postimages.org/)
-
Hello , Tjr pas de deco actuellement
Perso J'ai pas besoin de mètre des regel de pare feu j'ai juste a metre "vlan-parent "INTERFACE PARENTE",vlan-id 832,vlan-pcp 6" dans option modifier et la requête pars en cos 6 pour quoi tu a ces règle de pare feu ?
-
Pour information (et confirmation ;) ), je suis aussi déconnecté quand je laisse le DUID dans :
- Interfaces / WAN_832 / DHCPv6 client configuration / Interface Statement / Send Options : raw-option 1 <DUID>
ET
- Interfaces / Settings / IPv6 DHCP / DHCP Unique Identifier (DUID) : <DUID>
-
Merci beaucoup pour ce retour, pour l'instant je vais donc rester en 22.7.11_1
bon courage, espérons qu'ils règlent cela pour de bon...
-
Hello , Tjr pas de deco actuellement
Merci pour le retour, on avance ^^
Perso J'ai pas besoin de mètre des regel de pare feu j'ai juste a metre "vlan-parent "INTERFACE PARENTE",vlan-id 832,vlan-pcp 6" dans option modifier et la requête pars en cos 6 pour quoi tu a ces règle de pare feu ?
D'après le post du vieuxatorange, la CoS6 est nécessaire pour les requêtes DHCP et ICMP.
Les paquets envoyés en CoS0 continuent de fonctionner mais jusqu'à quand ?
Ma capture tcpdump montre des paquets envoyés en COS0 par OPNsense, malgré l'option vlan-pcp6 et la règle implicite généree correspondante
(les règles implicites sont dans Firewall / Rules / WAN, il faut deplier avec l'icone à droite de Automatically generated rules,
le set prio est bien positionné aussi
# grep set.prio /tmp/rules.debug
pass out log quick on bxe0_vlan832 proto udp from {any} port {546} to {any} port {547} set prio 6 label "af991f951c9d5dd7679e1defbf9ee033" # allow dhcpv6 client in WAN
Les règles implicites sont construites à partir de /usr/local/etc/inc/filter.lib.inc
Il me faudra peut-etre tenter de les desactiver pour continuer l'investigation avec des règles user , suite ce WE :)
-
Bon 24h Aprés boum deco super ....
-
Après investigation et en lisant attentivement le thread https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire
Je suis arrivé à la conclusion que pour le moment OPNSense ne renew pas l'IP comme il faut (IPv4 puis IPv6 peu de temps après).
Comme le lease est de quasi 24h j'ai ajouté une CRON toutes les 12h qui reset l'interface `wan`. Je vais vérifier mais je suis quasi certain que la connection va ce couper 2fois par jours pendant moins de 1mn le temps de reconfigurer l'interface.....
En attendant que quelqu'un trouve une meilleur solution.
-
J'ai fait la même mais ce n'est pas une solution malheureusement :'(
-
2.1.4 en cours d'exécution ici. Pas de problème
-
J’ai également la déco après 24h. Je suis passé sur OpenWrt (routeur AX3600 compatible) avec les mêmes configurations que celles d’OPNSense (j’ai copier/coller) et cela fonctionne sans coupure ... je suspecte bien un bug OPNsense ...
-
vous devriez signaler un bug sur le forum opnsense
-
Personnellement, j'avais la coupure après 24 heures en ayant le DUID renseigné dans les send options DHCPv6 de mon interface WAN et dans les paramètres généraux des interfaces, mais plus de déconnexion après l'avoir laissé uniquement dans les paramètres généraux des interfaces.
Pour le détail :
J'ai retiré le DUID ici :
- Interfaces/WAN_832/DHCPv6/Send Options, options : ia-pd 0,raw-option 1 <DUID>,raw-option 6 xxx,raw-option 15 xxx,raw-option 16 xxx,raw-option 11 xxx
---> retrait de "raw-option 1 <DUID>,"
Et je l'ai laissé uniquement ici :
- Interfaces/Settings, DHCP Unique Identifier ---> <DUID>
-
c'est ainsi que j'ai configuré mon routeur
-
Vous auriez un tuto à jour pour la dernière version d'opnsense ? J'ai tenté divers bidouille trouvé sur le fil "opnsense 22.1", mais toujours pas d'ipv4. J'ai jamais de réponse à mes DHCP requests.
J'utilise un LEOX 2.5G, qui marche bien quand branché sur la livebox.
-
Je n'ai pas le temps de mettre à jour le guide, mais je n'ai apporté presque aucune modification depuis que je l'ai écrit dans ma configuration autre que le paramètre DUID. Je fais ça uniquement pour conserver mon adresse IPV6
-
Pour info, sur Pfsense en ipv4 only j'ai aussi une deco tout les 24h depuis 1 semaine, bien relou.
-
B3nJ1 a réussi à éviter les déconnexions journalières en utilisant l'option
noauthrequired pour dhcpcd sous OpenBSD:
https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-openbsd-128033-7-2-dual-stack/msg1010407/#msg1010407
Je n'ai pas réussi à trouver l'équivalent sous OPNsense... Un expert pfSense/OPNsense pourrait-il nous éclairer ?
Merci
-
Mon conseil est d'utiliser le paramètre DUID ici
interfaces > settings > DHCP Unique Identifier
plutôt que l'option brute 1.
Sauf erreur de ma part, cela génère la même structure de paquets dhcpv6, donc l'option 1 n'est pas requise.
Mon conseil est d'utiliser le paramètre DUID ici
interfaces > paramètres > identificateur unique DHCP
plutôt que l'option brute 1.
Sauf erreur de ma part, cela génère la même structure de paquets dhcpv6, donc l'option 1 n'est pas requise.
Quelqu'un a-t-il encore des problèmes avec cette méthode ?
J'ai exécuté ma configuration comme celle-ci pendant de nombreuses années et je n'ai jamais utilisé l'option brute 1
-
J'ai utilisé cette méthode mais je suis systématiquement déconnecté après 24h.
-
quel format avez-vous utilisé pour le DUID
pouvez-vous confirmer que la demande est bien formée via Wireshark
-
00:03:00:01:xx:xx:xx:xx:xx:xx où xx... est l'adresse MAC de ma Livebox, le DUID est bien passé.
-
Est-ce que l'adresse Mac de la livebox est aussi clonée sur l'interface physique ?
Chez moi si Mac DUID est différente de Mac Interface, pas d'IPv6 non plus ;). L'autre solution c'est de ne pas mettre l'adresse Mac de la LB dans le DUID mais la vraie adresse Mac de l'interface.
-
utilisez-vous l'option 61 sur la requête DHCP
-
Est-ce que l'adresse Mac de la livebox est aussi clonée sur l'interface physique ?
Chez moi si Mac DUID est différente de Mac Interface, pas d'IPv6 non plus ;). L'autre solution c'est de ne pas mettre l'adresse Mac de la LB dans le DUID mais la vraie adresse Mac de l'interface.
@zoc intéressant. Je ne spécifie pas le MAC sur l'interface ou n'utilise pas l'option-61
Je me demande si ceux qui ont des problèmes sont sur la nouvelle autorisation orange et ceux qui n'ont pas de problèmes ne le sont pas. Je ne suis pas en France donc il m'est difficile de vérifier si Nice est maintenant sur le nouveau système
-
Est-ce que l'adresse Mac de la livebox est aussi clonée sur l'interface physique ?
Chez moi si Mac DUID est différente de Mac Interface, pas d'IPv6 non plus ;). L'autre solution c'est de ne pas mettre l'adresse Mac de la LB dans le DUID mais la vraie adresse Mac de l'interface.
J'ai essayé de mettre l'adresse MAC dans Interface BXE0 > MAC address, sans succès. Dois-je garder le DUID dans Settings > DHCP Unique Identifier et/ou l'option 1 pour DHCPv6 et/ou dhcp-client-identifier pour DHCPv4 ?
utilisez-vous l'option 61 sur la requête DHCP
Non
-
Je me demande si ceux qui ont des problèmes sont sur la nouvelle autorisation orange et ceux qui n'ont pas de problèmes ne le sont pas. Je ne suis pas en France donc il m'est difficile de vérifier si Nice est maintenant sur le nouveau système
Début décembre du jour au lendemain plus d'IPv6 chez moi. Ca a refonctionné après m'être assuré que l'adresse mac de l'interface, du dhcp-client-identifier (DHCP4) et du DUID (DHCP6) soient identiques (ce qui n'était pas le cas).
-
J'ai toujours eu une IPV6 (fe80::...) dans le widget interface du dashboard OPNsense. Mais depuis une semaine, déconnexion toutes les 24h. J'ai rajouté dhcp-client-identifier et l'option 1 pour dhcpv6, je garde bien mon ipv6 mais déconnexion toutes les 24h.
Zoc, pourriez SVP confirmer que vous utilisez:
- dhcp-client-identifier pour DHCPv4
- pas d'option 1 pour DHCPv6
- DUID dans Settings > DHCP Unique Identifier
- Adresse MAC dans Interface > MAC address
-
J'ai toujours eu une IPV6 (fe80::...)
C'est une adresse "Link-Local", elle existe dans tous les cas à partir du moment ou IPv6 est activé sur le routeur.
-
OK merci, je dois avouer que je ne suis pas un expert IPv6. Comment puis-je vérifier que j'obtiens bien une IPv6 ? Merci.
-
Zoc, pourriez SVP confirmer que vous utilisez:
- dhcp-client-identifier pour DHCPv4
- pas d'option 1 pour DHCPv6
- DUID dans Settings > DHCP Unique Identifier
- Adresse MAC dans Interface > MAC address
Bon alors déjà je n'utilise pas OPNsense mais un Ubiquiti ER4 et le client DHCP6 dibbler. l'ONT est connecté au port eth1 du routeur. Dans ma config j'ai:
- dhcp-client-identifier: 0x01<Mac eth1>
- DUID (généré automatiquement par dibbler, je n'ai pas d'option 1 explicite dans ma config): 00:03:00:01:<Mac eth1>
- <Mac eth1> est l'adresse mac d'origine du routeur (donc une mac Ubiquiti)
-
OK merci, je dois avouer que je ne suis pas un expert IPv6. Comment puis-je vérifier que j'obtiens bien une IPv6 ? Merci.
Les adresses de portée globale chez orange commencent par "2a01:"
-
Les adresses de portée globale chez orange commencent par "2a01:"
Mes clients LAN arrivent à obtenir une IPV6 en 2a01:, ça à l'air de marcher.
-
Mes clients LAN arrivent à obtenir une IPV6 en 2a01:, ça à l'air de marcher.
le seul moyen d'en être certain est de comparer une capture wireshark de la requête dhcp et dhcp6 de la livebox et à celles du routeur opnsense
-
Je viens de voir dans les logs système:
2023-04-04T11:21:33 Notice dhclient New IP Address (bxe0_vlan832): xx.xx.xx.xx
2023-04-04T11:21:33 Error dhclient unknown dhcp option value 0x7d
2023-04-04T11:21:33 Error dhclient unknown dhcp option value 0x5a
2023-04-04T11:21:33 Error dhclient ^
2023-04-04T11:21:33 Error dhclient vlan-id
2023-04-04T11:21:33 Error dhclient /var/etc/dhclient_wan.conf line 15: expecting a statement.
2023-04-04T11:21:33 Error dhclient ^
2023-04-04T11:21:33 Error dhclient vlan-parent
2023-04-04T11:21:33 Error dhclient /var/etc/dhclient_wan.conf line 14: expecting a statement.
Pourtant la config /var/etc/dhclient_wan.conf m'a l'air OK:
interface "bxe0_vlan832" {
# DHCP Protocol Timing Values
timeout 60;
retry 15;
select-timeout 0;
initial-interval 1;
# DHCP Protocol Options
send dhcp-class-identifier "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox4";
send option-90 00:00:00:00:00:00:00:00:00:00:00:1A:09:00:00:....;
send dhcp-client-identifier 01:xx:xx:xx:xx:xx:xx;
request subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search,routers,domain-name-servers,option-90,option-120,option-125;
vlan-parent "bxe0";
vlan-id 832;
vlan-pcp 6;
script "/usr/local/opnsense/scripts/interfaces/dhclient-script";
supersede interface-mtu 0;
}
Une idée ?
-
Le tuto est pas du tout à jour, vlan-parent et vlan-id ne marche plus dans les versions récentes (ils ne doivent plus servir je pense)
Pas trouvé de config qui marchait avec 23.1, j'ai laissé tomber opnbsd perso.
-
Je viens de voir dans les logs système:
2023-04-04T11:21:33 Notice dhclient New IP Address (bxe0_vlan832): xx.xx.xx.xx
2023-04-04T11:21:33 Error dhclient unknown dhcp option value 0x7d
2023-04-04T11:21:33 Error dhclient unknown dhcp option value 0x5a
2023-04-04T11:21:33 Error dhclient ^
2023-04-04T11:21:33 Error dhclient vlan-id
2023-04-04T11:21:33 Error dhclient /var/etc/dhclient_wan.conf line 15: expecting a statement.
2023-04-04T11:21:33 Error dhclient ^
2023-04-04T11:21:33 Error dhclient vlan-parent
2023-04-04T11:21:33 Error dhclient /var/etc/dhclient_wan.conf line 14: expecting a statement.
Pourtant la config /var/etc/dhclient_wan.conf m'a l'air OK:
interface "bxe0_vlan832" {
# DHCP Protocol Timing Values
timeout 60;
retry 15;
select-timeout 0;
initial-interval 1;
# DHCP Protocol Options
send dhcp-class-identifier "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox4";
send option-90 00:00:00:00:00:00:00:00:00:00:00:1A:09:00:00:....;
send dhcp-client-identifier 01:xx:xx:xx:xx:xx:xx;
request subnet-mask,broadcast-address,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search,routers,domain-name-servers,option-90,option-120,option-125;
vlan-parent "bxe0";
vlan-id 832;
vlan-pcp 6;
script "/usr/local/opnsense/scripts/interfaces/dhclient-script";
supersede interface-mtu 0;
}
Une idée ?
tu utilises quelle version ? Utilisez-vous le GUI pour créer le fichier de configuration ou manuellement ?
devrait être comme ça dans GUI
-
J'utilise OPNsense 23.1.5_4-amd64 et l'UI pour modifier la config.
J'ai viré les options vlan-id et vlan-parent qui ne sont plus nécessaires apparemment, plus d'erreur "expecting a statement".
Par contre j'ai toujours dans les logs:
2023-04-04T11:50:02 Error dhclient unknown dhcp option value 0x7d
2023-04-04T11:50:02 Error dhclient unknown dhcp option value 0x5a
qui correspondent aux options 125 et 90...
-
@sysiphus comment avez-vous défini le VLAN
-
J'utilise OPNsense 23.1.5_4-amd64 et l'UI pour modifier la config.
J'ai viré les options vlan-id et vlan-parent qui ne sont plus nécessaires apparemment, plus d'erreur "expecting a statement".
Par contre j'ai toujours dans les logs:
2023-04-04T11:50:02 Error dhclient unknown dhcp option value 0x7d
2023-04-04T11:50:02 Error dhclient unknown dhcp option value 0x5a
qui correspondent aux options 125 et 90...
c'est OK
-
@sysiphus comment avez-vous défini le VLAN
-
vous devez également créer une interface factice sur le parent du VLAN. C'est ici que vous définissez le MAC pour IPV4. mon parent du VLAN est igb0
-
J'en ai déjà une (bxe0). J'avais rajouté l'adresse MAC ici également, sans plus de succès. Doit-on dans cas conserver le DUID ?
-
MAC ici et DUID - OUI
alors maintenant que vous avez corrigé le fichier .conf, attendez 24 heures
-
Intéressant, en définissant l'adresse MAC dans mon interface parent, j'arrive bien à avoir une adresse ipV4 mais plus ipv6 !
-
vous devrez peut-être laisser les serveurs expirer votre ipv6. Si vous pouvez gérer sans ipv6, laissez-le pendant 24 heures, voyons ce que fait le renouvellement.
-
Autre test: si j'enlève le DUID depuis Settings et laisse l'adresse MAC dans l'interface parent, j'arrive à avoir une IPv6
-
J'ai fait une "release" propre du DHCP sur mon WAN dans Overview, définis le DUID dans Settings et rebooté, j'arrive à avoir une IPV6 avec le DUID et la MAC address définis.
Je vous tiens au courant si ça tient 24h.
-
Bon ben après 24h, déconnexion.
Voici ce que j'ai dans les logs (plus récentes entrées en premier)
2023-04-05T14:23:18 Notice dhcp6c reset a timer on bxe0_vlan832, state=RENEW, timeo=1, retrans=20762 --> ce bloc ce répète ensuite plusieurs fois
2023-04-05T14:23:18 Notice dhcp6c send renew to ff02::1:2%bxe0_vlan832
2023-04-05T14:23:18 Notice dhcp6c set authentication (len 70)
2023-04-05T14:23:18 Notice dhcp6c raw option 11 length 70 at 0x800a370f0
2023-04-05T14:23:18 Notice dhcp6c set vendor class (len 11)
2023-04-05T14:23:18 Notice dhcp6c raw option 16 length 11 at 0x800a370c0
2023-04-05T14:23:18 Notice dhcp6c set user class (len 45)
2023-04-05T14:23:18 Notice dhcp6c raw option 15 length 45 at 0x800a37180
2023-04-05T14:23:18 Notice dhcp6c set option request (len 8)
2023-04-05T14:23:18 Notice dhcp6c raw option 6 length 8 at 0x800a371b0
2023-04-05T14:23:18 Notice dhcp6c set IA_PD
2023-04-05T14:23:18 Notice dhcp6c set IA_PD prefix
2023-04-05T14:23:18 Notice dhcp6c set elapsed time (len 2)
2023-04-05T14:23:18 Notice dhcp6c set server ID (len 10)
2023-04-05T14:23:18 Notice dhcp6c set client ID (len 10)
2023-04-05T14:23:07 Notice dhcp6c send renew to ff02::1:2%bxe0_vlan832
2023-04-05T14:23:07 Notice dhcp6c set authentication (len 70)
2023-04-05T14:23:07 Notice dhcp6c raw option 11 length 70 at 0x800a371b0
2023-04-05T14:23:07 Notice dhcp6c set vendor class (len 11)
2023-04-05T14:23:07 Notice dhcp6c raw option 16 length 11 at 0x800a37180
2023-04-05T14:23:07 Notice dhcp6c set user class (len 45)
2023-04-05T14:23:07 Notice dhcp6c raw option 15 length 45 at 0x800a37030
2023-04-05T14:23:07 Notice dhcp6c set option request (len 8)
2023-04-05T14:23:07 Notice dhcp6c raw option 6 length 8 at 0x800a370f0
2023-04-05T14:23:07 Notice dhcp6c set IA_PD
2023-04-05T14:23:07 Notice dhcp6c set IA_PD prefix
2023-04-05T14:23:07 Notice dhcp6c set elapsed time (len 2)
2023-04-05T14:23:07 Notice dhcp6c set server ID (len 10)
2023-04-05T14:23:07 Notice dhcp6c set client ID (len 10)
2023-04-05T14:23:07 Notice dhcp6c a new XID (f6987f) is generated
2023-04-05T14:23:07 Notice dhcp6c reset a timer on bxe0_vlan832, state=RENEW, timeo=0, retrans=10256
2023-04-05T14:23:07 Notice dhcp6c IA timeout for PD-0, state=ACTIVE
Rien sur un renouvellement de l'IPv4.
-
C'est intéressant. Je pense que nous sommes sur le point de devoir regarder un Wireshark au moment du renouvellement pour voir ce qui est différent par rapport à la livebox ou le signaler sur le forum OPNSense afin qu'ils puissent nous dire quels journaux vérifier. Sur une autre note, j'ai perdu ma connexion aux premières heures du matin et j'ai dû redémarrer. Après quoi j'ai eu un nouveau préfixe IPV6 donc je pense que c'était Orange qui changeait mon serveur back-end ou quelque chose du genre. Maintenant, je regarde pour voir si le renouvellement fonctionne dans 24 heures. Je ne suis pas de retour en France avant la fin de l'année donc toutes mes investigations doivent se faire en VPN via ma connexion SFR de basculement. Rend l'obtention des journaux un peu plus délicate.
-
Hello,
J'ai ouvert un post sur le forum opnsense pour le souci de renew (pour le moment sans réponse).
De mon coté, j'ai effectué quelques tests, déjà avec Wireshark, j'ai bien validé que les requêtes DHCP initiales étaient identiques à celles de la LB4 (au niveau des options, duid, mac, etc…).
Coté OPNSense, je constate 2 soucis :
- le lease DHCP qui est inscrit dans /var/db/dhclient.leases.vlan.832 contient 2 entrées, cela m'étonne beaucoup.
- les logs du client DHCP (/var/log/system/latest) montrent que le client DHCP ne semble pas essayer de renew le lease à l'heure du renew.
Ma supposition est que, depuis quelques jours, la réponse DHCP fait bugger le client dhclient, et que celui-ci ne note pas correctement la date de renew (qui est pourtant bonne dans le fichier)
Donc le client n'essaie même pas de renouveler le bail, et on se fait drop par Orange car le bail a expiré.
Si vous avez un compte sur le forum d'opnsense, n'hésitez pas à poster un message, histoire d'attirer l'attention sur ce bug :)
-
Ma connexion ne se renouvelle plus. Je dois laisser tomber le wan pour le forcer. Je soupçonne quelques changements chez Orange car je n'ai rien changé. @guldil avez-vous dit que vous êtes revenu à 22.7 et cela fonctionne
-
Moi je suis en OPNsense 23.1.3_4-amd64 et ma connexion à un uptime de 17 days 21:11:18.
J'ai une IPV6 OK et une IPV4 OK
-
@guiz67 merci
@skool vous pouvez essayer
opnsense-revert -r 23.1.3 opnsense
vous pouvez également avoir besoin
opnsesne-update -kr 23.1
-
J'ai fait un rollback vers la 23.1.3, on verra dans 24h si je déconnecte.
Sur cette version j'ai également deux entrées dans /var/db/dhclient.leases.bxe0_vlan832.
-
avez-vous utilisé les commandes ci-dessus pour revenir en arrière
-
Oui j'ai utilisé les deux commandes, OPNsense a redémarré sans soucis.
-
Alors maintenant on attend
-
Oui j'ai utilisé les deux commandes, OPNsense a redémarré sans soucis.
aussi un redémarrage juste pour être sûr
-
oui, OPNsense demande de redémarrer de toute façon après la mise à jour du kernel.
-
Moi je suis en OPNsense 23.1.3_4-amd64 et ma connexion à un uptime de 17 days 21:11:18.
J'ai une IPV6 OK et une IPV4 OK
combien d'entrées sont dans votre fichier de bail dhclient.
-
Comme j'ai des déconnexions quasi à heure fixe, je suis venu jeter un petit coup d'oeil sur le forum, j'ai vu les modifications qu'a apporté Orange, je pense pourtant être bon ayant fait le nécessaire depuis le début.
J'avais abandonné l'IPV6 car ça ne fonctionnait pas, j'en ai donc profité pour me replonger dedans, mais ca coince toujours, je pense pourtant obtenir un IPV6 valide :
(https://i.postimg.cc/htvdKZYd/Info-1.jpg)
Dans les explication on me demande de mettre ce paramètre :
(https://i.postimg.cc/qvFCqXfZ/Info-2.jpg)
Mais je n'ai pas cette option dans mon interface, je n'ai que Prefix Interface de disponible.
Mon problème est que j'échoue tous les tests IPV6 :
(https://i.postimg.cc/q7tD6LNt/Info-3.jpg)
J'ai aussi ce message dans mes logs :
prefix length should be 64 for igb1
Si quelqu'un à une idée pour résoudre mon problème d'IPV6, je suis preneur. Merci
-
Bah là clairement le routeur obtient un préfixe valide de la part d'Orange.
La problème de configuration est donc purement spécifique à OPNsense (comment redistributer un préfixe IPv6 vers le LAN) et a sans doute plus sa place dans la section dédiée à OPNsense.
-
Ok merci de confirmer que cela fonctionne, mais que c'est moi qui ait mal configuré OPNsense.
-
Salut,
Je ne pense pas encore avoir eu la migration de l'infra Orange.
Par contre pour que l'IPv6 fonctionne, j'ai du créer une passerelle spécifique et ajouter la passerelle dans les règles FW du VLAN interne (1)(2)
Tu peux essayer. (vu que tu as un prefix, ca devrait être bon)
Vérifie que l'interface interne a bien un /64 (3)
Voir la conf IPv6 WAN en PJ (4)
-
Malgré le rollback OPNsense en 23.1.3_4-amd64, j'ai été déconnecté cet après-midi après 24h.
J'ai repassé la config WAN en revue:
- J'ai ajouté le raw-option 1 dans DHCPv6 client configuration > Send Options, en plus du DUID dans Interfaces: Settings / DHCP Unique Identifier
- Il me manquait l'option domain-name (15) dans Interfaces: [WAN] / DHCP client configuration / Request Options par rapport au post de Levieuxatorange
https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/
Option: (55) Parameter Request List
Length: 12
Parameter Request List Item: (1) Subnet Mask
Parameter Request List Item: (3) Router
Parameter Request List Item: (6) Domain Name Server
Parameter Request List Item: (15) Domain Name
Parameter Request List Item: (28) Broadcast Address
Parameter Request List Item: (51) IP Address Lease Time
Parameter Request List Item: (58) Renewal Time Value
Parameter Request List Item: (59) Rebinding Time Value
Parameter Request List Item: (90) Authentication
Parameter Request List Item: (119) Domain Search
Parameter Request List Item: (120) SIP Servers
Parameter Request List Item: (125) V-I Vendor-specific Information
Mes options deviennent donc dans OPNsense:
subnet-mask,broadcast-address,domain-name,dhcp-lease-time,dhcp-renewal-time,dhcp-rebinding-time,domain-search,routers,domain-name-servers,option-90,option-120,option-125
A voir dans 24h... Je ferai une capture Wireshark propre ce WE depuis la Livebox, la mienne date d'avant la migration.
-
Hello,
De ce que j'ai constaté sur mon routeur OPNsense, au moment du renew, le client dhclient ne respecte pas le cycle DORA/SARR (comme indiqué dans le topic https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/)
Le client envoie directement un DHCPREQUEST, et je suppose que c'est ça qui ne plait pas à Orange.
Je cherche si il existe une option dans le client DHCP pour forcer ce mode de fonctionnement, car si on clique sur le bouton renew dans la GUI d'OPNsense, ça fait bien le DORA (Discover/Offer/Request/Ack), le truc est donc bien géré.
edit: c'est bien le souci précisé ici : https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg1003518/#msg1003518
normalement le renew devrait être accepté direct, mais il doit manquer un truc dedans donc on se fait drop…
Comme suggéré ici https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg1004301/#msg1004301
j'ai testé d'ajouter une règle sortante pour re-set la priorité à 6 pour les paquets DHCP, on verra demain si ça marche…
-
Je pense que vous avez raison, cela pourrait être la solution dont nous avons besoin
-
Salut,
Je ne pense pas encore avoir eu la migration de l'infra Orange.
Par contre pour que l'IPv6 fonctionne, j'ai du créer une passerelle spécifique et ajouter la passerelle dans les règles FW du VLAN interne (1)(2)
Tu peux essayer. (vu que tu as un prefix, ca devrait être bon)
Vérifie que l'interface interne a bien un /64 (3)
Voir la conf IPv6 WAN en PJ (4)
Merci pour ton aide.
J'avais déjà une passerelle de créée, elle pointe vers WAN_832 qui doit je pense être ton équivalant de WAN. La seule différence est que j'avais pas mis 8 mais 0 pour Site-Level Aggregation Length.
Mais malgré ce changement toujours rien, j'ai bien une règle firewall pour l'IPV6 aussi bien sur mon WAN que sur mon LAN. Après j'avoue que le paramétrage pour l'IPV6 reste du chinois pour moi.
-
Merci pour ton aide.
J'avais déjà une passerelle de créée, elle pointe vers WAN_832 qui doit je pense être ton équivalant de WAN. La seule différence est que j'avais pas mis 8 mais 0 pour Site-Level Aggregation Length.
Mais malgré ce changement toujours rien, j'ai bien une règle firewall pour l'IPV6 aussi bien sur mon WAN que sur mon LAN. Après j'avoue que le paramétrage pour l'IPV6 reste du chinois pour moi.
As tu une IPv6 sur l'interface LAN en /64?
As tu une IPv6 qui est dans le scope de la délégation obtenue par le WAN sur ton PC?
-> Si non, tu peux essayer d'activer le SLAAC
-- Section Services -> publication de Routeur RA (sur l'interface LAN (enfin ton réseau interne) avec les paramètres en pièce jointe
(une liste de serveur dns ipv6 si besoin : https://lecrabeinfo.net/les-meilleurs-serveurs-dns-rapides-et-gratuits.html)
-
Comme suggéré ici https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg1004301/#msg1004301
j'ai testé d'ajouter une règle sortante pour re-set la priorité à 6 pour les paquets DHCP, on verra demain si ça marche…
Hello skool, pourriez-vous SVP détailler la mise en place de cette règle sur OPNsense ? Merci !
-
Hello skool, pourriez-vous SVP détailler la mise en place de cette règle sur OPNsense ? Merci !
Hello,
Dès que mon bail aura été renouvelé, si cela fonctionne, je ferai une explication détaillée de ce que j'ai mis.
Réponse tout à l'heure à 18h14 :)
-
Ça a fonctionné ! :)
J'ai eu mon renouvellement de bail, sans soucis, sans perte de ping, en IPv4 et IPv6.
Il y a donc un bug dans le client DHCP dhclient qui fait que la priorité vlan précisée dans la config n'est pas appliquée au renouvellement.
En contournement, une règle de firewall fait le job.
Dans OPNsense, avant de créer la règle, pour se faciliter le boulot, j'ai créé un alias de ports.
Dans la GUI : Firewall > Aliases > [ + ] (Add)
- Enabled : coché
- Name : DHCP (ou ce que vous voulez)
- Type : Port(s)
- Catégories : on s'en fiche
- Content : 67, 68, 546, 547 (possiblement juste le 67 et le 546 suffiraient, les 2 autres sont les ports coté client)
- Description : DHCP ports
Ensuite, cela se passe dans Firewall > Rules > WAN (ou le nom de l'interface VLAN que vous avez créé) > [ + ] (ajouter une nouvelle règle).
Il faut définir :
- Action : Pass
- Interface : WAN (votre interface avec VLAN sur laquelle le DHCP client est configuré)
- Direction : out
- TCP/IP Version : IPv4+IPv6
- Protocol : UDP
- Source : This Firewall
- Destination : any
- Destination port range : DHCP (l'alias créé précédemment)
et dans le Advanced Features, il faut juste définir :
- Set priority : Inetrnetwork Control (6)
et ne pas toucher au reste.
Enregistrer le tout, ne pas oublier d'appliquer la config, et ça devrait être bon, pas besoin de redémarrer.
-
superbe. J'ai mis le même. Mon renouvellement est dû à midi environ demain
-
Super merci skool !
-
As tu une IPv6 sur l'interface LAN en /64?
As tu une IPv6 qui est dans le scope de la délégation obtenue par le WAN sur ton PC?
-> Si non, tu peux essayer d'activer le SLAAC
-- Section Services -> publication de Routeur RA (sur l'interface LAN (enfin ton réseau interne) avec les paramètres en pièce jointe
(une liste de serveur dns ipv6 si besoin : https://lecrabeinfo.net/les-meilleurs-serveurs-dns-rapides-et-gratuits.html)
Oui j'ai bien une IPV6 sur l'interface LAN en /64
(https://filedn.com/lJlcWz2XMlo77gYeG4r4h0J/Conf_1.jpg)
Oui, mon PC reçois une IPV6.
(https://filedn.com/lJlcWz2XMlo77gYeG4r4h0J/Conf_2.jpg)
-
fe80:xx n'est qu'une adresse locale
-
Oui, tu devrais avoir une adresse commençant par 2a01 aussi sur le PC. Sinon impossible de sortir du LAN.
-
Oui j'ai bien une IPV6 sur l'interface LAN en /64
(https://filedn.com/lJlcWz2XMlo77gYeG4r4h0J/Conf_1.jpg)
Oui, mon PC reçois une IPV6.
(https://filedn.com/lJlcWz2XMlo77gYeG4r4h0J/Conf_2.jpg)
Essaye d'activer les annonces du routeur comme j'ai indiqué dans mon message précédent. Ton pc ne récupère pas d'ip publique la.
-
Essaye d'activer les annonces du routeur comme j'ai indiqué dans mon message précédent. Ton pc ne récupère pas d'ip publique la.
Malgré ce rajout toujours rien. Je souhaiterai éclaircir une chose, est-ce que jusque là tout est ok :
(https://filedn.com/lJlcWz2XMlo77gYeG4r4h0J/Conf_4.jpg)
Car pour moi l'adresse 2a01:xxx devrait aussi se trouver sur le WAN_832 et non sur le LAN. Est-ce que le problème ne proviendrai pas de là ?
Edit : Je crois que c'est bon, j'ai rien fait à part rebooter :
(https://filedn.com/lJlcWz2XMlo77gYeG4r4h0J/Conf_5.jpg)
(https://filedn.com/lJlcWz2XMlo77gYeG4r4h0J/Conf_6.jpg)
Merci @ tous pour votre aide.
-
Parfait ;)
Pour répondre à ton autre question, non Wan_832 n'a pas besoin d'avoir une adresse IPv6.
-
Après 24h, déconnexion malgré la règle pf dans le firewall... J'essaye le patch OPNsense...
-
vérifiez à nouveau la règle. ça marche pour moi
-
Après vérification, j'avais des user-class codés différemment pour DHCPv4 et v6
v4: user-class ="+FSVDSL_livebox.Internet.softathome.Livebox4"
v6: le l de ".livebox4" était codé en minuscule dans l'option 15
Cela pourrait poser des problèmes au renew selon ce post :
https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg1011246/#msg1011246
Réponse dans 24h...
-
Ça a fonctionné ! :)
J'ai eu mon renouvellement de bail, sans soucis, sans perte de ping, en IPv4 et IPv6.
Il y a donc un bug dans le client DHCP dhclient qui fait que la priorité vlan précisée dans la config n'est pas appliquée au renouvellement.
En contournement, une règle de firewall fait le job.
Dans OPNsense, avant de créer la règle, pour se faciliter le boulot, j'ai créé un alias de ports.
Dans la GUI : Firewall > Aliases > [ + ] (Add)
- Enabled : coché
- Name : DHCP (ou ce que vous voulez)
- Type : Port(s)
- Catégories : on s'en fiche
- Content : 67, 68, 546, 547 (possiblement juste le 67 et le 546 suffiraient, les 2 autres sont les ports coté client)
- Description : DHCP ports
Ensuite, cela se passe dans Firewall > Rules > WAN (ou le nom de l'interface VLAN que vous avez créé) > [ + ] (ajouter une nouvelle règle).
Il faut définir :
- Action : Pass
- Interface : WAN (votre interface avec VLAN sur laquelle le DHCP client est configuré)
- Direction : out
- TCP/IP Version : IPv4+IPv6
- Protocol : UDP
- Source : This Firewall
- Destination : any
- Destination port range : DHCP (l'alias créé précédemment)
et dans le Advanced Features, il faut juste définir :
- Set priority : Inetrnetwork Control (6)
et ne pas toucher au reste.
Enregistrer le tout, ne pas oublier d'appliquer la config, et ça devrait être bon, pas besoin de redémarrer.
Je ne suis pas sur qu'on ait besoin des port 546 et 547 comme il y a l'option `Use VLAN priority` dans la configuration DHCPv6.
Pour ceux qui veulent voici la chaine de l'option 15 en hexa (pour Livebox4) pour ipv6
raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:34
et pour ipv4 user-class "+FSVDSL_livebox.Internet.softathome.Livebox4"
-
Je ne suis pas sur qu'on ait besoin des port 546 et 547 comme il y a l'option `Use VLAN priority` dans la configuration DHCPv6.
On continue à creuser avec franco de opnsense pour trouver un patch propre, mais effectivement, en ipv6, le fait de définir le vlan priority applique une règle équivalente à celle qu'on crée manuellement, donc une règle juste ipv4 avec les ports 68 et 67 devrait suffire.
Il y a bien un comportement particulier dans le client dhcp de freebsd (et donc de opnsense) qui fait que la priorité n'est définie que aux paquets multicast, et donc pas lors du renew (qui est en unicast car on connait l'ip du serveur DHCP à ce moment).
J'espère qu'on pourra arriver à une solution propre dans opnsense, que l'on ait plus à définir de règle custom mais juste une priorité dans la conf.
-
Après vérification, j'avais des user-class codés différemment pour DHCPv4 et v6
v4: user-class ="+FSVDSL_livebox.Internet.softathome.Livebox4"
v6: le l de ".livebox4" était codé en minuscule dans l'option 15
Cela pourrait poser des problèmes au renew selon ce post :
https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg1011246/#msg1011246
Réponse dans 24h...
Pour info avec les mêmes chaines v4 et v6 plus de déconnexion avec la règle firewall.
-
Pour info avec les mêmes chaines v4 et v6 plus de déconnexion avec la règle firewall.
J'ai "L" pour ipv4 et 'l" pour ipv6 pas de problèmes. Mais Livebox 3. J'ai capturé ces chaînes depuis la livebox
-
J'ai "L" pour ipv4 et 'l" pour ipv6 pas de problèmes. Mais Livebox 3. J'ai capturé ces chaînes depuis la livebox
J'avais également capturé les chaines depuis ma LB5 (avec ONT externe elle apparaît comme LB4). Je n'ai pas refait de capture récente pour voir si il y a eu un changement.
-
Avez-vous changé en "L" ou 'l"
-
D'après le vieu (voir l'autre topic), on récupère une option 17 sur le DHCPv6 après migration. (qui n'existe pas avant migration)
Comme mon accès à toujours fonctionné et que j'ai pas changé d'IP depuis un bail, je n'ai pas eu le problème lors de la migration (du coup, je ne sais pas si j'ai migré)
Ceci dit en faisant une capture sur l'interface WAN (UDP + port 547 pour le filtrage) lors d'un renouvellement, je semble récupérer une option 17.
Pour ceux qui ont migré, vous confirmez que c'est bien cela? (première capture)
Par contre ce qui est louche, c'est que mon option 15 semble moisi d'après Wiresharck (seconde capture)
Je récupère bien un préfix /56 valide avec un lease de 7 jours (fonctionnel)
-
Avez-vous changé en "L" ou 'l"
L majuscule (4c), cf. post de Timo plus haut.
-
Il y a donc un patch qui fonctionne pour moi, attendant que Skool et Sisyphus confirment que cela fonctionne pour eux lorsque leur renouvellement aura lieu plus tard.
# opnsense-revert opnsense && opnsense-patch d08a425759190 3ed4f6d2
Une solution plus élégante est en cours d'élaboration par Franco chez OPNsense
-
Il y a donc un patch qui fonctionne pour moi, attendant que Skool et Sisyphus confirment que cela fonctionne pour eux lorsque leur renouvellement aura lieu plus tard.
# opnsense-revert opnsense && opnsense-patch d08a425759190 3ed4f6d2
Une solution plus élégante est en cours d'élaboration par Franco chez OPNsense
je confirme aussi que les patchs mentionnés fonctionnent pour moi, je teste maintenant la solution « définitive » (si validée) qui sera plus propre, consistant à définir la priorité dans le dhcpv4 comme on fait déjà dans le dhcpv6, via une option dédiée, et virer le vlan-pcp des options avancées
# opnsense-revert opnsense && opnsense-patch 2e4a1ea98d74
si tout est bon, on pourrait espérer que ça soit merge rapidement dans une prochaine version d'opnsense.
il faudra par contre mettre à jour la doc à ce sujet.
-
je confirme aussi que les patchs mentionnés fonctionnent pour moi, je teste maintenant la solution « définitive » (si validée) qui sera plus propre, consistant à définir la priorité dans le dhcpv4 comme on fait déjà dans le dhcpv6, via une option dédiée, et virer le vlan-pcp des options avancées
# opnsense-revert opnsense && opnsense-patch 2e4a1ea98d74
si tout est bon, on pourrait espérer que ça soit merge rapidement dans une prochaine version d'opnsense.
il faudra par contre mettre à jour la doc à ce sujet.
Skool vos paramètres de user-class correspondent-ils exactement ou avez-vous "L" et "l" (ipv4 et ipv6). Juste curieux
-
Skool vos paramètres de user-class correspondent-ils exactement ou avez-vous "L" et "l" (ipv4 et ipv6). Juste curieux
Je ne m'étais pas trop embêté quand j'ai créé ma config, j'avais dump les options depuis ma Livebox4, et j'ai copié tel quel.
Coté IPv4, j'ai +FSVDSL_livebox.Internet.softathome.Livebox4et en IPv6, c'est une chaine hexadécimale pour l'option 15
Si j'utilise un convertisseur hexa vers ascii, ça me donne +FSVDSL_livebox.Internet.softathome.livebox4
-
J'ai fait la même chose pour la Livebox3. Pas un match parfait. Mais le renouvellement fonctionne. Intéressant que pour certains ce ne soit pas le cas
IPv4
+FSVDSL_livebox.Internet.softathome.Livebox3
IPv6 (hex)
+FSVDSL_livebox.Internet.softathome.livebox3
-
je confirme aussi que les patchs mentionnés fonctionnent pour moi, je teste maintenant la solution « définitive » (si validée) qui sera plus propre, consistant à définir la priorité dans le dhcpv4 comme on fait déjà dans le dhcpv6, via une option dédiée, et virer le vlan-pcp des options avancées
# opnsense-revert opnsense && opnsense-patch 2e4a1ea98d74
si tout est bon, on pourrait espérer que ça soit merge rapidement dans une prochaine version d'opnsense.
il faudra par contre mettre à jour la doc à ce sujet.
Je peux confirmer que ce nouveau patch fonctionne parfaitement pour moi. Il devrait être en 23.1.6
-
Je ne m'étais pas trop embêté quand j'ai créé ma config, j'avais dump les options depuis ma Livebox4, et j'ai copié tel quel.
Coté IPv4, j'ai +FSVDSL_livebox.Internet.softathome.Livebox4et en IPv6, c'est une chaine hexadécimale pour l'option 15
Si j'utilise un convertisseur hexa vers ascii, ça me donne +FSVDSL_livebox.Internet.softathome.livebox4
J'ai également utilisé les user class dumpés directement depuis la Livebox, avec une différence de casse entre v4 et v6. Cependant, même avec la règle firewall et le patch, je me faisais déconnecter après 24h.
Skool, nivek1612, avez-vous essayé avec des chaines identiques pour voir si cela pose problème ? Avez-vous un dump récent depuis la Livebox ?
-
J'ai également utilisé les user class dumpés directement depuis la Livebox, avec une différence de casse entre v4 et v6. Cependant, même avec la règle firewall et le patch, je me faisais déconnecter après 24h.
Skool, nivek1612, avez-vous essayé avec des chaines identiques pour voir si cela pose problème ? Avez-vous un dump récent depuis la Livebox ?
D'après le vieu (voir l'autre topic), on récupère une option 17 sur le DHCPv6 après migration. (qui n'existe pas avant migration)
Comme mon accès à toujours fonctionné et que j'ai pas changé d'IP depuis un bail, je n'ai pas eu le problème lors de la migration (du coup, je ne sais pas si j'ai migré)
Ceci dit en faisant une capture sur l'interface WAN (UDP + port 547 pour le filtrage) lors d'un renouvellement, je semble récupérer une option 17.
Pour ceux qui ont migré, vous confirmez que c'est bien cela? (première capture)
Par contre ce qui est louche, c'est que mon option 15 semble moisi d'après Wiresharck (seconde capture)
Je récupère bien un préfix /56 valide avec un lease de 7 jours (fonctionnel)
J'utilise le L majuscule pour l'ipv6 (voir la capture dans mon message) + les règles firewall indiquées plus haut pour les paquet dhcp sur l'interface wan. Ma connexion est stable sans déco.
-
Skool, nivek1612, avez-vous essayé avec des chaines identiques pour voir si cela pose problème ? Avez-vous un dump récent depuis la Livebox ?
Je n'ai pas encore essayé le 'L' sur ipv6. Ma capture de Livebox 3 était il y a 5 ans. Je ne l'utiliserai plus ;-)
-
Skool, nivek1612, avez-vous essayé avec des chaines identiques pour voir si cela pose problème ? Avez-vous un dump récent depuis la Livebox ?
Je n'ai pas testé avec le L majuscule pour l'ipv6, vu que ma LB4 utilise un l minuscule.
Et j'ai refait une capture y'a ~1 semaine pour voir si qqch avait changé suite aux soucis de déconnexion, et c'est toujours comme ça (L majuscule en v4, minuscule en v6), alors je ne vais pas changer un truc qui marche :)
-
Hello,
Je suis toujours le sujet pour maintenir à jours ma configuration.
Comment savoir si on est passé en sur la nouvelle version de config DHCP d'Orange et que doit on adapter au config actuel ?
-
Hello,
Je suis toujours le sujet pour maintenir à jours ma configuration.
Comment savoir si on est passé en sur la nouvelle version de config DHCP d'Orange et que doit on adapter au config actuel ?
C'est sur l'autre topic.
Il faut sniffer les paquets DHCP sur l'interface WAN pendant la négo avec Orange et regarder si il y a une option 17 dans la réponse sur ipv6 (via Wiresharck par exemple), cette option 17 n'existe pas avant migration.
Pour une meilleure capture sous OPNSense, tu peux filtrer le protocol UDP et le port 546
Globalement, si tu suis le topic pour garder ta conf a jour, y a rien à faire, tu es surement déjà à jour.
-
Comme je le soupçonnais, j'ai été migré vers les nouvelles configurations Orange car je reçois une réponse de l'option 17 sur la demande de renouvellement Dhcp6c
-
C'est sur l'autre topic.
Salut !
Je me permet de demander, mais sur quel autre topic ?
Merci d'avance !
-
Salut !
Je me permet de demander, mais sur quel autre topic ?
Merci d'avance !
https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/
Tout est expliqué dans les premiers postes.
-
https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/
Tout est expliqué dans les premiers postes.
Ah yes, oui ok :)
-
23.1.6 vient de sortir avec un correctif
-
Re-coucou par ici
Je vient appeler a l'aide
Impossble pour moi d'avoir une IPV6 ce soir,je n'ai que une fe80:: link local, pas de prefix de délegation
Mes options IPV6 tel qu'il suit:
ia-pd 0 ,
raw-option 1 00:03:00:01:7C:MacDeLaBox ,
raw-option 6 00:0b:00:11:00:17:00:18,
raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:chaine longue ,
raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:36 ,
raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d ,
raw-option 17 00:00:05:58:00:06:00:0e:49:50:56:36:5f:52:45:51:55:45:53:54:45:44
avec le DUID suivant dans Interfaces --> Settings : 00:03:00:01:7c:c1:FinDuMac (Les lettres doivent elle etre en majuscule ?)
Merci d'avance pour toute votre aide, coté ipv4, tout fonctionne a 2gbps
-
On a tous une IPv6 en link local (et IPv6 qui fonctionne), ce qui compte c'est de savoir si tu as le prefix de délégation
-
23.1.6 vient de sortir avec un correctif
Je viens de faire la maj (une partie du patch note nous est déidié, c'est bien indiqué)
En virant le pcp 6 dans les modificateurs d'option + mettre la prio du VLAN sur IPv4 et IPv6 + suppression du changement de priorité des packets DHCP dans la partie firewall ca fonctionne nickel.
-
On a tous une IPv6 en link local (et IPv6 qui fonctionne), ce qui compte c'est de savoir si tu as le prefix de délégation
C'est justement ce qui ne va pas ... je n'ai pas de préfixe de délégation ...
-
Voici ma conf IPv6, tu peux vérifier que les options sont les même.
ia-pd 0, raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:36,raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d,raw-option 6 00:0b:00:11:00:17:00:18,raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXxxXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
J'ai mis mon DUID dans Interface -> Paramètres
Par contre mon option 15 en ipv6 correspond à ca en ipv4
user-class "+FSVDSL_livebox.Internet.softathome.Livebox6"
-
Voici ma conf IPv6, tu peux vérifier que les options sont les même.
Tout a l'air parfait, juste le prefix de l'interface qui etait a 0, mais aprés changement, malgré un release --> Reload, impossible de récuperer une delegation, l'ipV4 marche sans probléme
Le problème vienderai t'il de mon ONT ? c'est un LEOX LXT-010H-D
L'ipV6 Fonctionnait sans probème avec un MA5671A
-
Tu as rebooté?
Normalement aucune incidence. Si ipv4 fonctionne ipv6 devrait fonctionner
-
Tu as rebooté?
Normalement aucune incidence. Si ipv4 fonctionne ipv6 devrait fonctionner
Ouaip, rebooté plusieurs fois, j'ai l'impression que OPNSense ne reçois pas de réponse, aucun parcage ni lease valable en V6
je sens que je vais devoir faire un dump de l'interface ...
-
Je tourne dans le vide, mon ipV4 fonctionne sans probléme
mon DUID est défini dans Interfaces --> Settings
je reçois bien les RA de ba0bab
mais impossible de reçevoir une réponce du DHCPV6 d'orange,j'ai le même comportement que Sisyphe dans les logs en opnsense 23.1.6
sauf qu'en state j'ai " state=SOLICIT "
[...]
2023-04-05T14:23:18 Notice dhcp6c reset a timer on bxe0_vlan832, state=RENEW, timeo=1, retrans=20762 --> ce bloc ce répète ensuite plusieurs fois
2023-04-05T14:23:18 Notice dhcp6c send renew to ff02::1:2%bxe0_vlan832
2023-04-05T14:23:18 Notice dhcp6c set authentication (len 70)
2023-04-05T14:23:18 Notice dhcp6c raw option 11 length 70 at 0x800a370f0
2023-04-05T14:23:18 Notice dhcp6c set vendor class (len 11)
2023-04-05T14:23:18 Notice dhcp6c raw option 16 length 11 at 0x800a370c0
2023-04-05T14:23:18 Notice dhcp6c set user class (len 45)
2023-04-05T14:23:18 Notice dhcp6c raw option 15 length 45 at 0x800a37180
2023-04-05T14:23:18 Notice dhcp6c set option request (len 8)
2023-04-05T14:23:18 Notice dhcp6c raw option 6 length 8 at 0x800a371b0
2023-04-05T14:23:18 Notice dhcp6c set IA_PD
2023-04-05T14:23:18 Notice dhcp6c set IA_PD prefix
2023-04-05T14:23:18 Notice dhcp6c set elapsed time (len 2)
2023-04-05T14:23:18 Notice dhcp6c set server ID (len 10)
2023-04-05T14:23:18 Notice dhcp6c set client ID (len 10)
2023-04-05T14:23:07 Notice dhcp6c send renew to ff02::1:2%bxe0_vlan832
2023-04-05T14:23:07 Notice dhcp6c set authentication (len 70)
2023-04-05T14:23:07 Notice dhcp6c raw option 11 length 70 at 0x800a371b0
2023-04-05T14:23:07 Notice dhcp6c set vendor class (len 11)
2023-04-05T14:23:07 Notice dhcp6c raw option 16 length 11 at 0x800a37180
2023-04-05T14:23:07 Notice dhcp6c set user class (len 45)
2023-04-05T14:23:07 Notice dhcp6c raw option 15 length 45 at 0x800a37030
2023-04-05T14:23:07 Notice dhcp6c set option request (len 8)
2023-04-05T14:23:07 Notice dhcp6c raw option 6 length 8 at 0x800a370f0
2023-04-05T14:23:07 Notice dhcp6c set IA_PD
2023-04-05T14:23:07 Notice dhcp6c set IA_PD prefix
2023-04-05T14:23:07 Notice dhcp6c set elapsed time (len 2)
2023-04-05T14:23:07 Notice dhcp6c set server ID (len 10)
2023-04-05T14:23:07 Notice dhcp6c set client ID (len 10)
2023-04-05T14:23:07 Notice dhcp6c a new XID (f6987f) is generated
2023-04-05T14:23:07 Notice dhcp6c reset a timer on bxe0_vlan832, state=RENEW, timeo=0, retrans=10256
2023-04-05T14:23:07 Notice dhcp6c IA timeout for PD-0, state=ACTIVE
[...]
auriez vous une idée d'etapes a réaliser pour diagnostiquer ça, je crois me hurter a un mur
Edit:
Je vois des packets de baobab refusè dans le firewall en dèsactivant l'ipv6
-
Salut à tous,
Perso je bloque complètement. OPNsense est ok pour l'IPv6, je récupère bien un IPv6 delegated prefix en 2a01:XXXX:XXXX:XX00::/56 sur mon interface WAN_832 ; dans le service DHCPv6 de mon interface LAN, le serveur DHCPv6 est bien actif et je vois bien la tranche d'adresses disponibles en /64 qui correspond à mon préfixe, mais impossible de récupérer une IPv6 sur les ordinateurs ou autres périphériques du LAN.
Tout ce que je vois sur mes appareils, c'est une adresse IPv6 locale en fe80.
Dans OPNsense/System/Settings/General/Networking/DNS servers, j'ai indiqué les IPv4 et IPv6 des serveurs DNS de Cloudflare, mais je ne vois pas pourquoi ça gênerait.
Et aucune déconnexion, dernière version d'OPNsense (donc configuré la priorité DHCPv4 comme DHCPv6).
Dans les leases du service DHCPv6, c'est vide.
Quand je lance un ping depuis mon PC vers l'IPv6 (en 2a01:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX) qui apparaît sur le dashboard OPNsense sur l'interface LAN, ça ping sans souci.
A moins qu'il faille que je créée une règle particulière pour les serveurs DNS, mais je ne pense pas.
----------------------------
Autre truc bizarre : j'ai plusieurs LAN. Comme on a un préfixe de 56 bits, ça en laisse 8 pour que je puisse utiliser 256 préfixes de 64 bits. J'en veux un pour chaque LAN.
- si j'essaie de modifier Interfaces/LAN_1/Track IPv6 Interface/IPv6 Prefix ID pour mettre autre chose que 0, j'obtiens un message d'erreur. Et je ne peux pas utiliser 0 sur tous mes LAN (normal).
- donc je modifie Interfaces/WAN_832/DHCPv6 client configuration/Basic/Prefix delegation size pour le passer à 56 (avec ou sans Request only an IPv6 prefix, ça fait pareil, toujours le même problème), et ensuite je peux mettre la valeur que je veux dans Interfaces/LAN_1/Track IPv6 Interface/IPv6 Prefix ID, tant que c'est compris dans mes préfixes disponibles. Sauf que quand je fais ça, je n'obtiens plus d'IPv6 du tout, remettre Interfaces/WAN_832/DHCPv6 client configuration/Basic/Prefix delegation size à 64 et ça repart.
- mais avant que je retouche à Interfaces/LAN_1/Track IPv6 Interface/IPv6 Prefix ID, j'ai bien une IPv6 et la bonne tranche d'adresses sur chacune de mes interfaces LAN. Alors que j'ai des valeurs dans Interfaces/LAN_1/Track IPv6 Interface/IPv6 Prefix ID qui ne plaisent pas à OPNsense (The following input errors were detected: You specified an IPv6 prefix ID that is out of range.)
Donc soit ça ne marche pas alors que ça devrait marcher, soit ça marche alors que ça ne devrait pas, c'est clair ? ;D
----------------------------
Merci d'avance ! ;)
-
Pour toi c'est plus facile.
Va dans services-> annonce du routeur et active le sur ton interface côté lan.
Prend un dns Google pour configurer la partir dns.
Redémarre tes clients après ça.
-
Merci, je vais tester, mais je ne comprends pas pourquoi je devrais préciser mes serveurs DNS ici alors que J'ai coché la case :
Use the DNS configuration of the DHCPv6 server
Services/DHCPv6/LAN_1/DNS servers:
Leave blank to use the system default DNS servers: This interface IP address if a DNS service is enabled or the configured global DNS servers.
J'ai laissé vide.
Et donc, system default DNS servers:
System/Settings/General/Networking/Networking/
J'ai bien mis mes serveurs DNS ici pour mon interface WAN.
(Pour les Router Advertisements, je suis en Managed.)
-
J'y crois pas, en fait c'était tout bête ! ;D
Fallait juste que je remplisse dans Services/DHCPv6/LAN_X/Range la tranche que je voulais utiliser !
Alors que je pensais que la tranche disponible suffisait, mais non. Ça paraît tellement évident maintenant...
Et alors, assez incompréhensible, cette fois (alors que je l'ai fait un paquet de fois !), j'ai fait exactement la même manip que décrite plus haut dans Interfaces/WAN_832/DHCPv6 client configuration/Basic pour allouer des préfixes différents à mes LAN, et ce coup-ci, tout a l'air de fonctionner. ::)
-
Bonjour par ici
Aprés 24 heure d'attente, j'ai pu récuperer un préfix de délégation, en prime, c'est le même qu'avait la livebox !! Houra ... rah ... moi et la patience, sa fait 2
par contre, impossible de récuperer un /64 pour mon lan, auriez vous une idée
-
Tu as suivi l'interface sur le lan comme les tutos l'indique ?
-
Tu as suivi l'interface sur le lan comme les tutos l'indique ?
Yup, je te met une screen de la config en PJ, j'ai juste coché la config manuelle
sa a peut etre besoin d'un simple reboot, je test ça
Edit:
Même comportement aprés un reboot
j'aimais bien a l'epoque, avoir une V6 sur mon interface WAN, au moins j'etait sur que j'avais un prefix, même si certe, je gaspillait une V6 ...
-
Okey, bon, aprés avoir désactivé --> reactivé l'IPV6 sur mon interface LAN, tout fonctionne parfaitement !
je ne comprend pas pourquoi opn ne voulait pas la prendre "en marche" ... bref, maintenant, je vais lire les posts de Carcajou pour ajouter des IPV6 sur mes autres LAN, particulierement mon lan Guest et IOT
Par ailleurs, j'ai aussi abandoné le DHCPV6 ... j'ai l'impression que pas grand equipementr le supporte, et préfere les RA pour récuperer leur V6
-
Tom,
Je te mets ça en mode texte, ce sera plus rapide pour moi. ;)
- Interfaces/WAN_832/DHCPv6 client configuration/Configuration Mode/Basic/Request only an IPv6 prefix cochée
- Interfaces/WAN_832/DHCPv6 client configuration/Configuration Mode/Basic/Prefix delegation size/56
- Interfaces/WAN_832/DHCPv6 client configuration/Configuration Mode/Advanced/Identity Association/Prefix Delegation cochée
- Interfaces/WAN_832/DHCPv6 client configuration/Configuration Mode/Advanced/Identity Association/id-assoc pd ID/0
- Interfaces/WAN_832/DHCPv6 client configuration/Configuration Mode/Advanced/Prefix Interface/Prefix Interface Site-Level Aggregation Length/8
Le reste comme indiqué dans les différents tutos.
Ensuite, pour LAN_11 :
- Interfaces/LAN_11/Generic configuration/IPv6 Configuration Type/Track Interface
- Interfaces/LAN_11/Track IPv6 Interface/IPv6 Interface/WAN_832
- Interfaces/LAN_11/Track IPv6 Interface/IPv6 Prefix ID/0x11 (ici, je joue avec mes deux hexadécimaux disponibles (256 réseaux de 00 à ff)
- Interfaces/LAN_11/Track IPv6 Interface/Manual configuration cochée
Pareil pour LAN_22, sauf :
- Interfaces/LAN_22/Track IPv6 Interface/IPv6 Interface/IPv6 Prefix ID/0x22
Après, dans les services :
- Services/DHCPv6/LAN_11/Enable cochée
Pour info, il me détecte bien :
--> un "Subnet" en 2a01:XXXX:XXXX:XX11::
--> un "Subnet mask" en 64 bits
--> un "Available range" en 2a01:XXXX:XXXX:XX11:: - 2a01:XXXX:XXXX:XX11:ffff:ffff:ffff:ffff
- Services/DHCPv6/LAN_11/Range/from ::0:0:0:0 to ::ffff:ffff:ffff:ffff
- Services/DHCPv6/LAN_11/Time format change cochée
- Services/Router Advertisements/LAN_11/Router Advertisements/Managed
- Services/Router Advertisements/LAN_11/Router Priority/Normal
- Services/Router Advertisements/LAN_11/Source Address/Automatic
- Services/Router Advertisements/LAN_11/Advertise Default Gateway cochée
- Services/Router Advertisements/LAN_11/DNS options/Use the DNS configuration of the DHCPv6 server cochée
Tout le reste par défaut et idem pour LAN_22.
Le tout à adapter pour toi, bien sûr. Je n'ai pas de règles particulières pour faire fonctionner ça. Je n'utilise pas la règle pour les ports DHCP qui avait été indiquée à un moment sur le forum.
Toutes les routes ont été créées automatiquement, je n'ai rien saisi.
Voilà, dis-moi si j'ai oublié quelque chose. Bon courage ! ;)
-
Tom,
Je te mets ça en mode texte, ce sera plus rapide pour moi. ;)
[...]
Le tout à adapter pour toi, bien sûr. Je n'ai pas de règles particulières pour faire fonctionner ça. Je n'utilise pas la règle pour les ports DHCP qui avait été indiquée à un moment sur le forum.
Toutes les routes ont été créées automatiquement, je n'ai rien saisi.
Voilà, dis-moi si j'ai oublié quelque chose. Bon courage ! ;)
Super tuto !! de mon coté, j'ai deja suivi ce que tu avais fait au dessus, et sa fonctionne nickel, bizare que OPNSense ne change pas autromatiquement "DHCPv6 client configuration/Configuration Mode/Basic/Prefix delegation size" en fonction du prefix recuperé par le DHCPV6 :( sa m'aurai évité une 20 ene de cheveux perdu avant
Encore quelques problémes sur le second lan (VLAN) , les appareils ne récupere pas d'IPV6 ... je redémarerai opnsense a l'ocaz ... dans l'doute, on sait jamais, parfois, même souvent, sa fait des miracles
Par contre, impossbile de faire fonctionner l'IPV6 en RouterAdvertisement Managed sur mon smartphone android, et des dificultés sur mes machines, remarque tu le même comportemant ?
edit:
D'ailleurs, il m'est aussi impossible de faire fonctionner la livebox derriere mon OPNsense aprés une MAJ de cet aprem sur la LB5
-
Super tuto !! de mon coté, j'ai deja suivi ce que tu avais fait au dessus, et sa fonctionne nickel, bizare que OPNSense ne change pas autromatiquement "DHCPv6 client configuration/Configuration Mode/Basic/Prefix delegation size" en fonction du prefix recuperé par le DHCPV6 :( sa m'aurai évité une 20 ene de cheveux perdu avant
Oui, c'est clair ! Moi, pareil !
Je pensais que mettre "Prefix Interface Site-Level Aggregation Length" à 8 revenait au même que "Prefix delegation size" à 56, mais il faut croire que non...
Je pensais que l'onglet Advanced reprenait la configuration de Basic en plus poussé, mais comme je débute encore sur OPNsense, c'est peut-être une subtilité par très intuitive de la configuration.
Encore quelques problémes sur le second lan (VLAN) , les appareils ne récupere pas d'IPV6 ... je redémarerai opnsense a l'ocaz ... dans l'doute, on sait jamais, parfois, même souvent, sa fait des miracles
Je n'ai pas encore vérifié si mes appareils sur le second LAN récupèrent bien une IPv6, mais ce serait étonnant, tout paraît nickel sur OPNsense.
J'essaierai de te tenir au courant (si je n'oublie pas ^^).
Par contre, impossbile de faire fonctionner l'IPV6 en RouterAdvertisement Managed sur mon smartphone android, et des dificultés sur mes machines, remarque tu le même comportemant ?
Tous les PC ont bien récupéré une IPv6 chez moi. Concernant mon téléphone Android, je me suis fait la même réflexion que toi au début, car il récupérait toujours une IP en fe80... Mais après quelques recherches sur Internet, j'ai découvert qu'Android est capricieux avec IPv6. Je vais tâcher de passer mon téléphone d'Android 12 à 13 pour voir si c'est mieux.
edit:
D'ailleurs, il m'est aussi impossible de faire fonctionner la livebox derriere mon OPNsense aprés une MAJ de cet aprem sur la LB5
Je ne comprends pas. La Livebox TV ? J'utilise uniquement OPNsense et pas la TV ni le téléphone fixe.
-
Je ne comprends pas. La Livebox TV ? J'utilise uniquement OPNsense et pas la TV ni le téléphone fixe.
La Livebox pour le Telephone, j'avais réussi avant, maintenant, impossble de la faire fonctionner, elle récupere bien son ip, mais reste en blanc cligniotant
Cela ne me bloque pas, mais le VoWifi fonctionnant un peu aléatoirement, avoir le fixe serai un petit plus, et le tuto en début de thread ne fonctionne pas pour moi, je re-essaierai plus tard, ou me passerai du fixe si j'arrive a fiabiliser la VoWifi
Edit:
Sa fonctionne, j'avais fait l'erreur de taguer le port de mon switch ... ;)
-
Ah oui, le genre de truc qu'on peut oublier après quelques mois. ^^
-
Par contre, impossbile de faire fonctionner l'IPV6 en RouterAdvertisement Managed sur mon smartphone android, et des dificultés sur mes machines, remarque tu le même comportemant ?
J'ai réussi à faire obtenir une IPv6 par mes téléphones Android en ajoutant le drapeau SLAAC (A) dans Router Advertisements :
- Services/Router Advertisements/LAN_XX/Router Advertisements/Assisted
Select which flags to set in Router Advertisements sent from this interface.
- "Managed" for Stateful DHCPv6 (M+O flags)
- "Assisted" for Stateful DHCPv6 and SLAAC (M+O+A flags)
-
J'ai réussi à faire obtenir une IPv6 par mes téléphones Android en ajoutant le drapeau SLAAC (A) dans Router Advertisements :
- Services/Router Advertisements/LAN_XX/Router Advertisements/Assisted
Select which flags to set in Router Advertisements sent from this interface.
- "Managed" for Stateful DHCPv6 (M+O flags)
- "Assisted" for Stateful DHCPv6 and SLAAC (M+O+A flags)
C'est ce que j'ai finis par mettre, mais j'ai abandoné le DHCPV6, tout est gérer uniquement en SLAAC, car j'ai l'impression qu'android ne sais pas faire de DHCPV6
Si j'active le DHCPV6, mes PC se retrouve avec 3 ou 4 IPV6, et les telephones leurs ip SLAAC
J'ajoute aussi, dans mes experiances de la semaine, que j'arrive pas a assigner une IPV6 a mon second lan, je vais relire le tuto que tu a fait, j'ai du me gourer quelque part
-
Ok, merci pour ton retour.
Je patauge aussi un peu pour l'instant.
Après avoir testé différents trucs, j'ai viré toutes les IPv6 fixes que j'avais configurées, parce que dans l'éventualité où Orange change mon préfixe IPv6, plus rien ne sera accessible en IPv6.
Je suis en train de chercher le meilleur moyen de configurer mes serveurs Debian et autre pour récupérer dynamiquement le préfixe par router advertisment et pouvoir configurer un suffixe fixe.
Moi aussi ça m'a fait bizarre de voir mes PC avec trois IPv6 chacun...
-
Ok, merci pour ton retour.
Je patauge aussi un peu pour l'instant.
Après avoir testé différents trucs, j'ai viré toutes les IPv6 fixes que j'avais configurées, parce que dans l'éventualité où Orange change mon préfixe IPv6, plus rien ne sera accessible en IPv6.
Je suis en train de chercher le meilleur moyen de configurer mes serveurs Debian et autre pour récupérer dynamiquement le préfixe par router advertisment et pouvoir configurer un suffixe fixe.
Moi aussi ça m'a fait bizarre de voir mes PC avec trois IPv6 chacun...
Ce que j'avais vu sur un autre post du forum, c'est de mettre (a verifier, je crois que j'ai trop de carectéres, j'suis un noob en ipv6 ;D )
::0000:0000:0000:0000:0000
::ffff:ffff:ffff:ffff:ffff
dans la config DHCPV6, comme ça le préfix change dynamiquement en fonction du prefix qu'orange te donne ;)
-
Oui, ça c'est pour DHCPv6, sauf que pour tes suffixes, comme tu as un préfixe sur 64 bits, ce sera plutôt ça :
from ::0:0:0:0 (pas besoin de mettre 4 zéros à chaque fois, un seul suffit)
to ::ffff:ffff:ffff:ffff
En fait, tu mets ce que tu veux, c'est toi qui choisis quelles adresses tu veux laisser être allouées dynamiquement. C'est comme en IPv4, tu peux te garder une partie sous le coude pour de l'adressage statique.
Exemple : from ::8000:0:0:0 to ::ffff:ffff:ffff:ffff si tu veux garder la première moitié pour des IPv6 fixes.
Pour le reste et savoir la meilleure configuration pour mes serveurs, je lis en ce moment ce qui concerne DHCPv6 vs SLAAV et stateful vs stateless. Je te dirai mes conclusions. ^^
Mais si quelqu'un passe par là et maîtrise le sujet, je suis preneur aussi ! :P
Pour l'instant, j'ai l'impression que ce qui correspondrait le mieux pour mon LAN serveurs est : "Stateless" for Stateless DHCPv6 and SLAAC (O+A flags).
-
Je suis en train de chercher le meilleur moyen de configurer mes serveurs Debian et autre pour récupérer dynamiquement le préfixe par router advertisment et pouvoir configurer un suffixe fixe.
« ip token set », il y a des équivalents pour netplan et systemd-networkd en fonction de ce que tu utilises. Pour NetworkManager je ne sais pas par contre.
Bref, chercher « IPv6 token » dans les docs.
-
Merci zoc. Effectivement, j'avais déjà lu un de tes autres posts à ce sujet, et c'est ce que je suis en train de creuser. Tu m'as déjà aidé malgré toi. :P
Mais avant de modifier ma config côté serveurs, je veux mieux comprendre comment configurer mon routeur/pare-feu OPNsense.
Je ne comprends pas encore la subtilité et le choix à faire entre :
(à chaque fois, c'est pour gérer le cas où Orange modifie mon préfixe IPv6, donc je ne veux pas attribuer d'IPv6 fixe)
- Stateful DHCPv6 : admettons que je je fixe en statique un bail DHCPv6 sur un serveur. Dans le cas d'un éventuel changement de préfixe, est-ce que le suffixe va rester le même sur le serveur ?
Selon comment le suffixe est calculé, c'est possible, mais ça veut dire que je ne le choisis pas. Et si je veux le choisir, je dois passer par une IPv6 statique, ce qui ne convient pas, puisque le préfixe peut changer.
Je pourrais donc partir sur la configuration de mon interface du serveur en inet6 dhcp, mais je ne suis pas certain que ce soit la méthode à privilégier et ça ne m'arrange pas si je ne peux pas choisir le suffixe de l'adresse IPv6.
- SLAAC avec Stateless DHCPv6 : donc là, je crois comprendre que mon suffixe IPv6 est géré au niveau de mon serveur. SLAAC permet de vérifier avec le routeur que l'adresse n'est pas déjà prise, et je peux récupérer ce qui est DNS et nom de domaine par le service DHCPv6 configuré sur OPNsense.
Ça semble être plus adapté à mon usage, et dans ce cas, comment dois-je configurer mon service DHCPv6 ? Si Router Advertisements est configuré en "Stateless" (Stateless DHCPv6 and SLAAC), est-ce que le service DHCPv6 va quand même fournir des IPv6 dynamiquement ?
Et là, je dois aussi encore creuser pour la configuration de mon /etc/network/interfaces sur mes serveurs... inet6 dhcp ou inet6 auto, où mettre le suffixe IPv6, accept_ra 1 ? autoconf 1 ? IP token set, etc.
-
Tu n'as pas besoin de DHCPv6 (chez moi c'est déactivé par ailleurs) pour avoir le DNS. le service Annonce du routeur (router advertisement) peut te le donner si tu rempli la case DNS.
Pour celui qui posait la question d'avoir 3 IPv6 sur les interface (Tom.exe je crois)
Tu en as une qui correpond à l'adresse ULA, c'est une adresse qui n'est pas routée et accessible uniquement du réseau local (si tu as le DNS dans le même sous réseau tu peux mettre son adresse ULA dans les annonces du routeur).
-> On peut voir ca comme une adresse privé ipv6 (et sa construction ne change pas)
Tu as l'adresse que la machine s'autoassigne via SLAAC (et qui pareil, la partie à droite du prefix n'évolue pas, donc tu peux aussi la mettre dans un enregistrement DNS si tu veux accéder à ta machine depuis l'extérieur)
-> Le prefix chez Orange ne change pas (on peut considérer qu'il est fixe)
-> Celle ci est fixe et durable
Ensuite tu as une adresse SLAAC temporaire généralement.
-> Celle ci ne doit pas être utilisée pour l'adressage via DNS car elle bouge, elle permet d'éviter le tracking quand tu vas sur le net. (par contre tu peux avoir une autre machine sur le réseau qui porte la même par pure hasard)
Enfin des fois, il y en a une en plus qui n'est plus utilisée (une temporaire) mais que la machine garde encore un peu car d'autres machines du réseau peuvent encore l'utiliser pour joindre la machine
Globalement, il faut garder les deux première en tête, les temporaire, tu t'en fou.
-
En fait, si j'utilise le mode "Assisted" for Stateful DHCPv6 and SLAAC (M+O+A flags), j'obtiens deux IPv6 avec le préfixe fourni par Orange + une IPv6 temporaire.
Sans parler des feXX.
Oui, pour le DNS, c'est le drapeau "O" de RA, donc ça peut être ajouté à SLAAC sans DHCPv6.
Je ne suis pas sûr pour DHCPv6, je vois un truc intéressant.
Si je configure mes serveurs en IPv6 par DHCP et mon service DHCPv6 en "Managed" for Stateful DHCPv6 (M+O flags), je peux rendre statique le bail DHCPv6 en fixant le suffixe :
- Services/DHCPv6/Leases pour les ajouter
- Services/DHCPv6/LAN_XX/DHCPv6 Static Mappings for this interface. pour les éditer
- crayon en face du Static Mapping à éditer, puis IPv6 address -> When using a dynamic WAN address, only enter the suffix part (i.e. ::1:2:3:4).
Ça peut correspondre à ce que je recherche.
Dans ce cas, je pourrai configurer les interfaces de mes serveurs en clientes DHCPv6.
Le seul problème reste les périphériques Android qui veulent du SLAAC.
-
C'est pas nécessaire.
Les serveurs hébergés sur mon homelab sont en SLAAC et je n'ai jamais eu à mettre à jour mon DNS public suite à un changement d'adresse potentiel.
A partir du moment ou tu ne changes pas de MAC adresse sur ton interface, l'EUI-64 (le suffix) ne change pas.
-
Ok. Je me disais simplement que ça pouvait être pas mal de gérer mes IP au niveau de mon routeur et de mettre les interfaces des serveurs en DHCP.
Pas besoin de gérer de token IPv6 dans ce cas.
-
Bonjour le fil,
Dites, comment faites vous pour récuperer les options de retour DHCPV6 ?
Merci d'avance ! ;)
-
Tu utilises la fonction de capture de paquet d'opnsense en filtrant sur ipv6 et le port dhcp sur l'interface wan. Après tu utilises wire shark.
-
Tu utilises la fonction de capture de paquet d'opnsense en filtrant sur ipv6 et le port dhcp sur l'interface wan. Après tu utilises wire shark.
Oh, okey, pas de fichier lease comme avec un DHCPV4
Merci !
-
J'ai mis à jour le premier guide de configuration du WAN Orange sur la doc OPNSense
-> @nivek1612, tu peux supprimer l'indication comme quoi ce guide n'est pas à jour dans ton premier message du topic.
-> Si vous avez des retours, n'hésitez pas.
Je rajouterais en plus :
- la méthode pour pouvoir utiliser le track interface sur plusieurs VLAN (je ne l'avais pas testé avant de mettre à jour le guide) -> Ca reste optionnel / inutile si track IPv6 sur un seul LAN.
- une session sur le troubleshoting des problèmes (notamment la partie sur comment récupérer la chaine directement de la livebox ou capturer les paquets de retour DHCP d'orange via OPNSense)
Enfin je vais mettre à jour le guide TV dès que possible.
-
Merci
le seul changement que je suggérerais est de s'assurer que dhcp "user-class" et dhcp6 "raw-option 15" correspondent à la livebox
-
Il me reste juste une question, ça va faire un an que je me suis passé de la livebox pour OPNsense avec une config IPv4 et IPv6 fonctionnelle, pourtant sur cette durée je n'ai jamais changé d'adresse publique IPv4, même avec un release/renew ou reboot. Est ce que votre adresse publique change ?
Ça marche, donc je me plains pas, mais c'est un peu étrange.
-
Bonjour,
Je débarque sur ce forum car j'aimerai remplacer ma LB5 par OPNsense mais je rencontre des difficultés (et honnêtement j'atteins les limites de mes connaissances réseau).
J'ai suivi la documentation officielle (appris quelques trucs au passage) mais impossible d'avoir une adresse IPv4 ou IPv6 Orange.
Comment faites-vous pour debug quand ça ne fonctionne pas ?
J'ai cherché plusieurs logs sans trouver d'information intéressante et un PCAP sur mon ONT depuis OPNsense n'a rien donné (il fonctionne quand il est branché à la LB5).
Merci d'avance pour votre aide.
-
J'ai mis à jour le premier guide de configuration du WAN Orange sur la doc OPNSense
-> @nivek1612, tu peux supprimer l'indication comme quoi ce guide n'est pas à jour dans ton premier message du topic.
-> Si vous avez des retours, n'hésitez pas.
Je rajouterais en plus :
- la méthode pour pouvoir utiliser le track interface sur plusieurs VLAN (je ne l'avais pas testé avant de mettre à jour le guide) -> Ca reste optionnel / inutile si track IPv6 sur un seul LAN.
- une session sur le troubleshoting des problèmes (notamment la partie sur comment récupérer la chaine directement de la livebox ou capturer les paquets de retour DHCP d'orange via OPNSense)
Enfin je vais mettre à jour le guide TV dès que possible.
Hello,
Pour moi il manque aussi dans une des tes captures :
Que la case "Manual configuration ..." soit coché sinon on a pas accès à la partie Router Advertisements.
Voir PJ
Par contre depuis que j'ai refait ma config les test IPV6 ne fonctionne plus !
Pourtant je recois bien une IPV6 sur mon lan et sur mon WAN !
-
Bonjour,
Je débarque sur ce forum car j'aimerai remplacer ma LB5 par OPNsense mais je rencontre des difficultés (et honnêtement j'atteins les limites de mes connaissances réseau).
J'ai suivi la documentation officielle (appris quelques trucs au passage) mais impossible d'avoir une adresse IPv4 ou IPv6 Orange.
Comment faites-vous pour debug quand ça ne fonctionne pas ?
J'ai cherché plusieurs logs sans trouver d'information intéressante et un PCAP sur mon ONT depuis OPNsense n'a rien donné (il fonctionne quand il est branché à la LB5).
Merci d'avance pour votre aide.
Il faudrait tu as bien utiliser les gé,rateur pour les options ?
Pas oublié une virgule ?
Tu tu peux ouvrir un topic dédier si tu veux et copie nous colles tes configurations
-
Hello,
Pour moi il manque aussi dans une des tes captures :
Que la case "Manual configuration ..." soit coché sinon on a pas accès à la partie Router Advertisements.
Voir PJ
Par contre depuis que j'ai refait ma config les test IPV6 ne fonctionne plus !
Pourtant je recois bien une IPV6 sur mon lan et sur mon WAN !
OK. Je note pour la partie manual. Tu as raison
Pour l'ipv6 j'ai personnellement ajouté l'ip de la passerelle dans la passerelle ipv6 d'orange sinon ça ne marche pas non plus mais je pensais être le seul impacté comme personne d'autre n'avais remonté ce souci. Je vais faire la modif.
-
Il faudrait tu as bien utiliser les gé,rateur pour les options ?
Pas oublié une virgule ?
Tu tu peux ouvrir un topic dédier si tu veux et copie nous colles tes configurations
Merci pour ton retour.
En créant mon topic, je me suis aperçu de mon erreur au niveau du DUID et tout fonctionne désormais.
-
OK. Je note pour la partie manual. Tu as raison
Pour l'ipv6 j'ai personnellement ajouté l'ip de la passerelle dans la passerelle ipv6 d'orange sinon ça ne marche pas non plus mais je pensais être le seul impacté comme personne d'autre n'avais remonté ce souci. Je vais faire la modif.
Je confirme que depuis le changement un et un reboot ca fonctionne !
Merci
Merci pour ton retour.
En créant mon topic, je me suis aperçu de mon erreur au niveau du DUID et tout fonctionne désormais.
TOP
-
bonjour à tous,
pour commencer merci à tous ceux qui ont documenté les manipulations, fait évoluer les logiciels et tout et tout. j'ai fait la migration pppoe vers dhcp hier mais je suis finalement resté sur pfsense pour des questions de performance qu'il me faut approfondir : j'utilise un vieil pcengines APU1 2GiB (oui c'est vieux ;D) avec le bios 4.17.le_dernier sur un abonnement orange qui était à 100Mbps à l'origine mais a augmenté au fil du temps sans trop de préavis. Non, je ne connais pas le débit de la ligne (!)
-pfsense 2.6.0 pppoe > 290dw/410up > pppoe monothreadé donc limité mais à priori en ligne avec le débit qui devait être 300symétrique. pointes cpu à 80% surtout dues à des interruptions
-pfsense 2.6.0 dhcp > 492/502 > plus de limite dû à pppoe, charge cpu descend à 60-70% et 50% d'interruptions
-opnsense 23.1_1 dhcp > 140/200 > cpu à 100% dont 90% d'interruptions
Je penche sur la plus grosse différence qui est le passage de freebsd 12 à 14. A voir, je vais creuser. Je suis tombé sur plein de tunables pour toucher au flow control et autre, rien ne fonctionne. La politique de netgate ne me va pas, l'objectif reste de passer sur opnsense.
quelques commentaires sur la doc du site opnsense pour contribuer :)
- le patch pour le vlan priority du client dhcpv4 nécessite opnsense 23.1_1 qui n'est pas dispo au téléchargement sous forme d'image, il faut patcher live. du coup il faut soit avoir un autre accès pour faire la mise à jour, soit mettre sur le vlan832 la priorité à 6 quitte à ne pas avoir full débit. comme j'ai rendu ma LB en 2017, ça a été un peu galère
- les guillemets utilisés pour les paramètres DHCP sur la page de documentation opnsense (") ne sont pas les mêmes que ceux attendus (") > j'ai mis un moment à m'en rendre compte : client DHCP ne prenait aucun paramètre
- la priorité vlan id pcp 6 pour le client DHCPv4 n'est pas dispo dans l'interface. La page opnsense dit simplement qu'il faut la mettre, mais le montre que pour le DHCPv6. J'ai trouvé ici et là qu'il suffisait de faire une règle sortante sur le firewall mais d'autres règles automatiques matchent avant et le marquage n'est pas appliqué. La seule façon d'y arriver est "Option Modifier" avec "vlan-pcp 6" < #edit : plus forcément valide, l'option est maintenant présente.
en espérant que ça aide :)
-
quelques commentaires sur la doc du site opnsense pour contribuer :)
- le patch pour le vlan priority du client dhcpv4 nécessite opnsense 23.1_1 qui n'est pas dispo au téléchargement sous forme d'image, il faut patcher live. du coup il faut soit avoir un autre accès pour faire la mise à jour, soit mettre sur le vlan832 la priorité à 6 quitte à ne pas avoir full débit. comme j'ai rendu ma LB en 2017, ça a été un peu galère
- les guillemets utilisés pour les paramètres DHCP sur la page de documentation opnsense (") ne sont pas les mêmes que ceux attendus (") > j'ai mis un moment à m'en rendre compte : client DHCP ne prenait aucun paramètre
- la priorité vlan id pcp 6 pour le client DHCPv4 n'est pas dispo dans l'interface. La page opnsense dit simplement qu'il faut la mettre, mais le montre que pour le DHCPv6. J'ai trouvé ici et là qu'il suffisait de faire une règle sortante sur le firewall mais d'autres règles automatiques matchent avant et le marquage n'est pas appliqué. La seule façon d'y arriver est "Option Modifier" avec "vlan-pcp 6"
en espérant que ça aide :)
Il faut etre en 23.1.6 pour avoir le VLAN priority sur la stack IPv4 (https://forum.opnsense.org/index.php?PHPSESSID=mnpgpvkcdo26d4tsbo2nrq4mv1&topic=33643.0)
Orange FR users be aware that your ISP now requires strict VLAN PCP
on all DHCPv4 requests so please do set 'Use VLAN priority' interface
setting for both DHCPv4 and DHCPv6. The 'Option Modifiers' override
for "vlan-pcp" in DHCPv4 can be removed and the documentation was
updated accordingly.
-> Effectivement le download est en 23.1 (donc il faudra attendre la 23.2 pour que ces modifications soient intégrées de base)
-> J'avais indiqué la version miminum dans la doc pour que cela fonctionne (23.1.6) mais lors du pull request, on m'a demandé de retirer cette note en indiquant qu'elle serait rapidement obsolète (ce qui se tiens)
Pour les quotes, on ne pourra rien faire c'est correctement orthographié dans la docs par rapport à ce qui est demandé par OPNSense, c'est ton navigateur qui les modifie. (c'est aussi modifié chez moi)
-> ce qui est en dur dans la doc :
**On the DHCP request it is a requirement to pass the following:**
* dhcp-class-identifier "sagem"
* user-class "+FSVDSL_livebox.Internet.softathome.Livebox6"
* option-90 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:65:77:74:FF:AB:XX:XX
(hex conversion of the the userid supplied by Orange which looks like fti/xxxxxxx)
* dhcp-client-identifier 01:XX:XX:XX:XX:XX:XX
(you MUST use the same MAC address for the XX:XX as the one use for the DUID above)
.. Note::
You can use this tool to generate the option-90 chain : https://jsfiddle.net/kgersen/3mnsc6wy/
Enfin ca c'est perso comme ressenti mais j'ai gardé ma livebox. Ca permet de savoir si le problème est chez toi ou chez Orange quand ca merde. (Si Livebox KO, j'appelle immédiatement Orange (je me suis fait déco deux fois sauvagement dans l'armoire dans les 6 derniers mois))
-
merci pour ton retour et pour la doc, encore une fois :)
effectivement 23.1_6 (j'avais un trou de mémoire, sur le numéro du hotfix)
pour le navigateur et bien... je me suis fait avoir :D
la LB avait été rendue car c'était 2-3€ mensuel. Sur 6 ans ça finit par chiffrer et par chance il n'y a pas (trop) de rebranchement sauvage dans mon coin.
cependant j'avais été appelé une fois en 2018 par ce que je suppose être un technicien d'Orange ou travaillant pour Orange avec un ton très "plaisant". "On ne peut pas se connecter à votre LB, ce n'est pas normal, on ne voit pas ce qu'il y a raccordé chez vous sur votre LB" :o Sans surprise je n'en ai jamais entendu parler par la suite...
-
Coucou tout le monde
Je me trouve dans une situation ou je drop la connection tout les 20 jours aproximativement ... un reboot suffit a tout remonter, mais sa m'ennuie beaucoup car avant, je pouvait avoir 3 a 4 mois d'uptime sans problémes
Auriez vous une idée du problème ?
La seule configuration que je n'ai pas entré, c'est baobab dans le moniroting de la gatewayv6
ps: et je ne suis pas sur de ma configuration du DSCP, si vous pouvez me confirmer vos régles en rapport ;)
Merci d'avance pour votre aide
-
hello,
je vais voir si j'ai le même comportement, ayant fait la bascule complète pfsense 2.6.0 > opnsense 23.1.8 le 28 mai (ipv4+6 dhcp). pour le moment pas de déconnexion après 24h, on va voir comment ça se comporte dans le temps. tout fonctionne impec ;D.
chose que je n'explique pas : j'ai bien full 500Mbps symétrique avec mon APU1D, alors que lors de la tentative précédente le débit était anémique. un test iperf montre que ça tient (pour des gros paquets) jusqu'à 720Mbps. Il y a de la marge, mais peu.
-
Bonjour,
Tout d'abord merci pour la documentation sur le site d'OPNsense.
J'ai suivi le guide et je n'arrive pas à avoir une IPv4 sur l'interface WAN (alors que j'ai bien une IPv6). Cette dernière reste en 0.0.0.0.
J'ai bien tenu compte des très bonnes remarques de Jeannot sur la doc (les " et "vlan-pcp 6") pour lesquels je m'étais fait avoir.
Mais cela ne change rien ... toujours une IP en 0.0.0.0 :-\
Quelqu'un aurait-il une idée pour me débloquer ?
THX
-
C'est étonnant que tu ne soit même pas parké.
Il faudrait que tu fasses une capture des paquets dhcp sur l'interface wan pour regarder si tu as un retour et le code d'erreur éventuel
-
0.0.0.0 sur OpenSense, ca ne veut pas dire qu'aucune IP n'a été attribuée ? Si oui, le client DHCP n'a pas obtenu de réponse car le serveur DHCP a fait la source oreille.
Dans ce cas, pas de parcage. Je te recommande de vérifier que les chaines d´options sont bonnes (notamment user-class qui est sensible à la casse : attention aux majuscules/minuscules).
Que vois tu dans les logs d'OpenSense pour ce qui est du DHCP ? Peux-tu éventuellement faire une capture pcap sur l'interface WAN pendant quelques minutes ?
-
sauf erreur de ma part, une absence de réponse dhcp donne une adresse en 169.254.<unboutdelamac>.
j'avais eu ce cas quand la priorité n'était pas appliquée sur les requêtes dhcp.
-
Bonjour,
Merci tout le monde pour vos tutos, ce forum est une source d'inspiration :)
Suite a maj d'orange, j'ai refait toute ma config et j'ai bien une IPv4 et une IPv6 (si je ping -4/-6 depuis le shell d'opnsense en SSH).
Par contre, je n'arrive pas à avoir une IPv6 avec un accès internet depuis mon PC (ou autre appareil).
J'ai bien une IPv6 local, mais sans acces internet dessus.
A noter que mon LAN est un BRIDGE, peut etre que ca peut causer soucis
Dans les log DHCP j'ai ceci:
Error dhcpd dhcpv6: send_packet6() sent -1 of 121 bytes
Error dhcpd send_packet6: No route to host
J'ai essayé de fixer l'IP de la gateway (fe80::ba0:bab)
j'ai essayé de mettre ou pas des serveur DNS de quad9 dans le router advertisements ainsi que changer de assisted a unmanaged.
Mais rien à faire :'(
Si quelqu'un aurait déjà vu ce message d'erreur, je suis prenneur.
A bientot.
-
Quelle est la durée du lease en ipv6 ?
-
Suite a maj d'orange, j'ai refait toute ma config et j'ai bien une IPv4 et une IPv6 (si je ping -4/-6 depuis le shell d'opnsense en SSH).
[...]
Dans les log DHCP j'ai ceci:
Error dhcpd dhcpv6: send_packet6() sent -1 of 121 bytes
Error dhcpd send_packet6: No route to host
Es-tu sur que tu obtiens bien une delegation de prefixe IPv6 de la part d'Orange? Quelle est l'IP que tu obtiens sur ta patte WAN?
Ton client DHCPv6 est bien configuré pour utiliser le VLAN 832? "send_packet6: No route to host" me fait penser à une absence de route multicast ou d'adresse link-local sur l'interface VLAN.
Est-ce que tu peux nous faire une capture d'écran de la config dhcpv6?
J'ai essayé de fixer l'IP de la gateway (fe80::ba0:bab)
j'ai essayé de mettre ou pas des serveur DNS de quad9 dans le router advertisements ainsi que changer de assisted a unmanaged.
La gateway devrait être configurée automatiquement lors de la réception des RA du routeur d'Orange, et les DNS ne me semblent pas être à l'origine de ton souci (tu devrais obtenir un préfixe IPv6 que la résolution DNS fonctionne ou non).
-
Merci beaucoup @simon et @Hiigaraa pour m'avoir consacré du temps.
C’était effectivement juste la case a cocher "Enable link-local address" dans mon Bridge et après un reboot, j'ai bien accès a internet en IPv6 :D
-
Nice. content que ca t'ait aidé!
-
0.0.0.0 sur OpenSense, ca ne veut pas dire qu'aucune IP n'a été attribuée ? Si oui, le client DHCP n'a pas obtenu de réponse car le serveur DHCP a fait la source oreille.
Dans ce cas, pas de parcage. Je te recommande de vérifier que les chaines d´options sont bonnes (notamment user-class qui est sensible à la casse : attention aux majuscules/minuscules).
Que vois tu dans les logs d'OpenSense pour ce qui est du DHCP ? Peux-tu éventuellement faire une capture pcap sur l'interface WAN pendant quelques minutes ?
Je galère toujours.
Dans les log générales il y a bien des erreurs de transmision sur le process dhcp6c (transmit failed: Can't assign requested adress)
et connection closed et exiting du dhclient.
J'ai bien vérifié l'option 90 et le "user-class" avec Wireshark ...
La version releasée actuellement (23.1) sur le site opnsense est bien Ok sans besoin de la patcher ?
-
Ah bien joué. Il faut la 23.1.6 pour avoir l'option pour mettre la cos 6 en ipv4.
Il faut que tu utilises l'ancienne conf avec vlan pcp6 (je me souviens plus tres bien l'écriture exacte)
Puis une fois à jour tu pourras retirer cette ligne pour mettre la prio a 6 en ipv4
-
Hiigara,
Si tu parles de "vlan-pcp 6" dans option modifier, je l’ai mis depuis le début et ça ne change rien.
Y a t’il un moyen de voir un response d’orange dans pcap ?
J’ai chopé les trames mais je ne trouve rien
-
sur la 23.1.9, les options côté DHCPv4 en plus de "send options" et "request options":
priority : Internetwork Control (6)
options modifiers : vlan-parent "re1", vlan-id 832, vlan-pcp 6
(re1 est l'interface physique côté WAN)
pas sûr que toutes les options ci-dessus soient nécessaires depuis que la priorité est explicitement configurable via "priority". je n'ai rien d'autre.
peut être un point qui fait peut être une différence : l'adresse MAC est forcée sur l'interface WAN et répercutée dans les options DHCP, ça rend la configuration portable entre mon routeur de réserve de test et celui qui est en place.
-
Salut! Depuis peu, je me suis mis en tête de passer à IPv6 pour l'accès à Internet, et pour mon serveur en DMZ. J'ai suivi le tuto de OPNsense pour IPv6 et j'obtient bien un /56. Jai configuré le RA sur mon LAN, et mes périphériques du LAN obtiennent bien une IP. J'ai tout de même plusieurs questions/problèmes:
- Sur mon interface LAN, pour IPv6, il y a une option "IPv6 Prefix ID". Si je comprends bien, je suis censé pouvoir y mettre ce que je veux sur 8 bits pour compléter le prefix de 56. Problème, je ne peux mettre que 0x00. N'importe qu'elle autre valeur est refusé par OPNsense. C'est embêtant car ça veut dire que je ne peux pas utilisé IPv6 sur une autre interface (IoT par exemple). J'ai vu des gens parler de ce problème sur le forum OPNsense, mais je ne vois pas de solution... Pourtant mon interface LAN obtient bien un /64, il me reste quand même 255 possibilités pour le prefix ID normalement...
- Mon WAN n'obtient pas d'adresse IPv6. Il obtient un prefix, mais ne s'occtroie pas une IP. C'est embêtant car j'ai un service OpenVPN, et j'aimerais bien pouvoir me servir d'IPv6. Dois-je configurer quelque chose en particulier?
D'ailleur, à cause du problème de prefix, je ne peux pas assigner d'adresse IPv6 sur mon serveur en DMZ, car je ne peux pas Track mon WAN, vu que le LAN l'utilise déjà. Des gens ont réussi à faire de l'IPv6 sur plusieurs VLAN?
Merci d'avance!
-
depuis la migration de la conf (dhcp+ipv6), je suis aussi en train de regarder ça.
le fait que l'interface WAN n'ait pas d'IP est normal. Du coup de ce que je comprends, il faut permettre la connexion sur interface interne pour le VPN qui elles ont une adresse. < laquelle, pour être franc je ne sais pas ce qui est préférable, LAN? une DMZ?
il me faut creer une 'issue' sur github car l'interface dyndns pour freedns ne supporte pas l'IPv6 (c'est une url différente de l'ipv4)
-
Du coup de ce que je comprends, il faut permettre la connexion sur interface interne pour le VPN qui elles ont une adresse.
Ou créer une interface virtuelle (Loopback par exemple, ou Bridge sans aucun port sur Mikrotik) et lui attribuer une IPv6.
-
Je pense avoir trouvé une solution en regardant le code source. Il y a un paramètre de la config général de OPNsense (/config/config.xml), "dhcp6-ia-pd-len" qui est à "0". C'est ce paramètre qui à l'aire de déterminer le nombre de bit restant pour la délégation. C'est ce paramètre que la GUI utilise pour vérifié si tu as encore des prefix dispo quand tu veux le choisir pour ton LAN. Ce paramètre lié au paramètre "Prefix delegation size" présent en mode Basic mais pas en mode advanced! En mode Basic, si tu mets "/56", il mettera 8 (bits) dans ta config. Du coup, en mode advanced, il a l'aire de prendre la conf par défaut à savoir 0, comme si l'ISP offrait un /64 quoi. Du coup, j'ai changé la valeur dans /config/config.xml à 8, jai fait un opnsense-shell reload et ça a marché! J'ai pu attribué le prefix que je voulais à mon LAN. Je n'ai malheureusement pas trouvé où est set ce paramètre dans la config quand on utilise le mode advanced, le 0 "par défaut" c'est juste une supposition. Je pense que ça mérite encore une petite analyse voir une issue/PR. En vrai il devrait le set tout seul à partir du moment où il reçoit son prefix sur le WAN, 64-prefix=ia-pd-len.
Edit : Je n'ai aucune idée des effet de bord que cela peut faire, déjà ça tiens pas le reboot je crois, ça se remet à 0 donc pas ouf.
-
merci d'avoir testé. J'ai le même soucis, il ne prend rien d'autre que 0 pour une autre interface. :-\
D'autres pages font parlent de ce blocage : si une interface en "track" a déjà un préfixe à 0, rien ne fonctionne pour les autres. J'ai beau tenter de mettre un autre préfixe même sur la première interface en tracking, c'est aussi refusé.
https://github.com/opnsense/core/issues/2622 , https://forum.opnsense.org/index.php?topic=7274.0
Donc je suis très intéressé par la solution et j'irai mettre un "up" sur github :)
-
Hello,
J'ai testé par curiosité et réussi à activer IPv6 sur d'autres interfaces internes en changeant "Prefix delegation size" de 64 à 56 dans l'onglet "Basic" de la configuration IPv6 de l'interface WAN.
Par sécurité je suis retourné sur l'onglet "Advanced" avant d'enregistrer.
(https://loin.ploup.net/~naz/pub/prefix_delegation_size.png)
Une fois cette conf enregistrée, j'ai pu configurer d'autres interfaces en IPv6 / Track / Wan avec des "IPv6 Prefix ID" jusqu'à 0xff
On retrouve bien ces infos dans le fichier /var/etc/dhcp6c.conf
id-assoc pd 0 {
prefix-interface igb1 {
sla-id 0;
sla-len 8;
};
prefix-interface igb5_vlan832 {
sla-id 255;
sla-len 8;
};
};
Niveau conf ça donne le diff suivant:
--- /conf/backup/config-1685459699.173.xml 2023-05-30 15:14:59.177819000 +0000
+++ /conf/config.xml 2023-06-13 08:07:37.708048000 +0000
@@ -364,7 +364,7 @@
<adv_dhcp_config_file_override_path/>
<dhcpvlanprio>6</dhcpvlanprio>
<ipaddrv6>dhcp6</ipaddrv6>
- <dhcp6-ia-pd-len>0</dhcp6-ia-pd-len>
+ <dhcp6-ia-pd-len>8</dhcp6-ia-pd-len>
<dhcp6vlanprio>6</dhcp6vlanprio>
<adv_dhcp6_interface_statement_send_options>ia-pd 0, raw-option 6 XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX</adv_dhcp6_interface_statement_send_options>
<adv_dhcp6_interface_statement_request_options/>
@@ -425,6 +425,9 @@
<spoofmac/>
<ipaddr>192.168.0.1</ipaddr>
<subnet>24</subnet>
+ <ipaddrv6>track6</ipaddrv6>
+ <track6-interface>wan</track6-interface>
+ <track6-prefix-id>255</track6-prefix-id>
</opt1>
<opt4>
<if>igb5</if>
-
ça fonctionne aussi. effectivement le "prefix delegation size" dans "basic" était à 64, donc forcément l'interface ne permettait pas d'autre "prefix id".
après l'interface secondaire (en track sur l'interface WAN) ne prend pas pour autant d'adresse, quand je regarde la page de conf dhcpv6 (le daemon n'est pas actif), l'available range renvoit "no available address range for configured interface subnet size". Apres un reboot l'interface LAN qui fonctionnait avant en IPv6 subit la même erreur. Bon... je cherche
-
Oui c'est bien ça. Pour utiliser les autres subnet que le 0 il faut forcer la taille du prefix dans basic.
j'ai déjà fait le pull request sur la doc pour ajouter cette partie là suite aux remontées précédentes. (ça prend un peu de temps avant de passer en prod)
-
Ou faire en sorte que l'interface ne masque pas la taille du préfixe en mode advanced.
J'ai jeté un oeil à la documentation IPv6 d'opnsense pour la partie track interface et il y est fait mention qu'un seul préfixe /64 est alloué aux interfaces LAN. Je ne sais pas si ça part de l'hypothèse qu'un /64 sera délégué ou si c'est une limite en dur quelque part. en cherchant sur la doc opnsense et pfsense, tous les exemples de configuration montrent l'interface LAN trackée avec le prefix id 0.
https://docs.opnsense.org/manual/ipv6.html > track interface
Track Interface
This mode uses a WAN DHCPv6 interface to assign a single /64 network to your LAN interfaces.
-
Bonjour à tous et bravo pour vos contributions et vos investigations sur ce forum riche en informations.
Depuis 2019, date à laquelle seul orange proposé la fibre chez moi, j'ai installé opnsense sur une carte APU2
pour remplacer ma LB (Merci le forum pour l'installation). j'ai un routeur WIFI qui sert à communiquer avec les décodeurs HD.
Fonctionnement sans problème IPV4 IPV6 vidéo, jusqu’à hier.
Mon décodeur HD met un temps non négligeable pour démarrer et fini par afficher le portail orange.
Mais le fonctionnement est dégradé pas d’accès au replay, pas d' accès à canal Plus, pas d’accès à prime vidéo,
pas d’information sur le programme en cours, seul Netflix fonctionne.
Après investigation j'ai compris que la mise à jour du décodeur HD avec le firmware en mai à provoquer ce dysfonctionnement
car mon deuxième décodeur HD qui avait un firmware antérieur à Mai fonctionnait normalement.
La mise à jour du deuxième décodeur à eu le même effet.
Le tableau de bord de mon OPNsense est sans erreur tous les services sont OK IPV4 et IPV6 aussi.
j'ai modifier les option 90/11 d’après le post sur les conformités protocolaire 2023 rien n'a changé.
Pour être sur j'ai rebranché ma LB et vérifier que tout fonctionnait canal replay et prime.
En revenant à ma configuration d'origine ( APU2 + OPNsense) j'ai branché directement le décodeur en RJ45 pour
s'affranchir d'un problème du routeur WIFI mais le mode dégradé du portail demeure.
si quelqu'un à une idée merci d’avance
-
tu as moyen de capturer le traffic du décodeur tv pour voir la requête qui reste sans réponse?
-
Bonjour,
Problème Résolu :=)
Les DNS de l'interface TVVLAN dans Services -> DHCPv4 étaient ceux de mon installation au départ en 2019
80.10.246.3 et 80.253.149.10.
je les ai changé pour 80.10.246.2 et 80.10.246.129 et tout est rentré dans l'ordre.
j'avoue pas vraiment expliqué que la mise à jour des décodeurs HD soit impactée par les DNS !!
les 2 premières adresses sont portant des DNS actifs.
-
c'est probablement de la migration vers un infra plus récente, le temps de pousser toutes les mises à jour + période de grace au cas où.
en tout cas ça reconfirme que les guides sont bons :)
-
Bonjour,
Problème Résolu :=)
Les DNS de l'interface TVVLAN dans Services -> DHCPv4 étaient ceux de mon installation au départ en 2019
80.10.246.3 et 80.253.149.10.
je les ai changé pour 80.10.246.2 et 80.10.246.129 et tout est rentré dans l'ordre.
j'avoue pas vraiment expliqué que la mise à jour des décodeurs HD soit impactée par les DNS !!
les 2 premières adresses sont portant des DNS actifs.
Je suis intéressé par le modèle de ton point d'accès wifi. J'ai essayé avec les eap245 de tp link mais la partie flux vidéo est ko.
-
Dans Interfaces puis Overview, on peut voir les DNS envoyé par Orange. Chez moi c'est 80.10.246.1 et 81.253.149.9.
-
Bonjour à tous
Ma question n'est pas directement liée aux différentes mises à jour coté Orange mais je suis persuadé que certains d'entre vous ont la réponse :)
Tout fonctionne correctement, sauf que l'ipv6 récupérée par une de mes machines (qui fait office de serveur) change régulièrement.
C'est assez génant car j'ai des règles fw basées sur l'ipv6 de ce serveur .. et donc quand elle change, je dois retourner dans opnsense pour corriger la règle.
Je supppose qu'il ya moyen d'avoir un bail dhcpv6 pour les clients, sauf que je ne comprends pas ou cela se trouve dans Opnsense.
Je suis bien en Track Interface coté LAN.
Le DHCPv6 relay est off, le sous menu "leases" présentes des baux, mais pas celui de mon serveur ...
Coté serveur, je vois des ips en "scope global temporary deprecated dynamic", et celle qui est active actuellement en "scope global temporary dynamic"
-
Tu utilises une des IP temporaire.
Il faut que tu utilises l'IP non temporary (celle la ne doit pas changer car elle est construite à partir de la MAC) - La dernière en 2a01: dans ta capture
-
Si le PC en question fait majoritairement office de serveur, une solution est potentiellement d'utiliser des adresses "stable privacy" voire de désactiver les privacy extensions pour éviter cette rotation d'adresse régulière.
-
En parlant d'ipv6, je l'ai perdu, j'ai bien le subnet qui s'affiche sur OPNSense, et je peut ping / traceroute dessus, mais aucun pc n'en récupère une ... une idée d'où sa pourrait venir ?
En redémarrant le RADVD, tout a l'air de retour, une idée d'ou je pourrait trouver des logs pour diagnostiquer le problème ?
Update: Je crois que, si mon switch tombe / reboot pour update, radadv plante, et nécésite un reboot complet d'OPNSense, c'est ennuyant, mais bon a savoir
-
Merci Hiigaraa et simon, c'est bien l'option stable privacy qu'il fallait regarder :)
-
Sinon, comme c'est un linux, il est possible de fixer les 64 bits du suffix directement sur le serveur. Plusieurs méthodes selon le gestionnaire réseau utilisé:
- ip token set <suffix> dev <interface> dans un post-up de /etc/network.d/interfaces
- ipv6-address-token pour netplan (version >= 0.100
- IPv6Token pour systemd-networkd
Exemple chez moi (ubuntu 22.04):
> cat /etc/netplan/00-installer-config.yaml
# This is the network config written by 'subiquity'
network:
ethernets:
ens18:
addresses:
- 192.168.69.111/24
nameservers:
addresses:
- fd00:dead:babe:70::211
- fd00:dead:babe:70::213
- 192.168.70.211
- 192.168.70.213
search:
- mgnt.zoc.me
routes:
- to: default
via: 192.168.69.1
ipv6-address-token: ::111
version: 2
-
Hello,
Je ne sais pas si ça vous fait pareil, mais depuis 3 ou 4 jours, mon routeur ne fait plus de renew des baux dhcp, et donc la connexion coupe toutes les ~24h.
Je suis passé de Orange à Sosh y'a 2 semaines, cela a très bien fonctionné pendant au moins 1 semaine, mais depuis qqes jours, je me retrouve à avoir des coupures toutes les 24h.
D'après les logs et un tcpdump, mon routeur n'envoie pas de requêtes DHCP au moment de la coupure.
Est-ce que ça vous fait pareil ? J'ai bien vérifié tout ce qu'il faut au niveau DHCP, mais ça continue.
Un renew DHCP manuel suffit à fixer le souci.
[edit] c'est probablement une config de mon coté (lien L2TP par dessus la ligne Sosh) qui casse le renew
-
Je suis intéressé par le modèle de ton point d'accès wifi. J'ai essayé avec les eap245 de tp link mais la partie flux vidéo est ko.
Bonjour et désolé pour la réponse tardive
j 'utilise un ASUS AC68U.
Avec un décodeurs HD ça marche nickel, en revanche avec 2 c'est pas le top.
cordialement
-
Bonjour et désolé pour la réponse tardive
j 'utilise un ASUS AC68U.
Avec un décodeurs HD ça marche nickel, en revanche avec 2 c'est pas le top.
cordialement
Merci beaucoup. Je vais l'essayer.
-
Quelqu'un a tenté la 23.7 ?
-
Quelqu'un a tenté la 23.7 ?
version business?
je suis présentement sur la 23.1.11_1 ;D
-
Nope, version classique.
Elle est sortie hier ; l'update m'est proposée via l'interface perso, mais je ne saute pas encore le pas, j'ai peur de tout casser.
-
Je suis sur VM. Je un fais snapshot, l'upgrade et je vous dis.
-
Nope, version classique.
Elle est sortie hier ; l'update m'est proposée via l'interface perso, mais je ne saute pas encore le pas, j'ai peur de tout casser.
effectivement. j'ai lu le message d'upgrade en diagonale hier en upgradant à la 23.1.11_1.
je ferai l'upgrade dans la semaine sur mon apu1
-
Bon en tout cas, ca n'a pas coupé l'accès. (IPv4 et IPv6)
A voir dans la durée.
-
Bon en tout cas, ca n'a pas coupé l'accès. (IPv4 et IPv6)
A voir dans la durée.
Merci pour ce premier retour !
-
Sinon, comme c'est un linux, il est possible de fixer les 64 bits du suffix directement sur le serveur. Plusieurs méthodes selon le gestionnaire réseau utilisé:
- ip token set <suffix> dev <interface> dans un post-up de /etc/network.d/interfaces
- ipv6-address-token pour netplan (version >= 0.100
- IPv6Token pour systemd-networkd
Exemple chez moi (ubuntu 22.04):
> cat /etc/netplan/00-installer-config.yaml
# This is the network config written by 'subiquity'
network:
ethernets:
ens18:
addresses:
- 192.168.69.111/24
nameservers:
addresses:
- fd00:dead:babe:70::211
- fd00:dead:babe:70::213
- 192.168.70.211
- 192.168.70.213
search:
- mgnt.zoc.me
routes:
- to: default
via: 192.168.69.1
ipv6-address-token: ::111
version: 2
Ou autre possibilité :
Mettre l'ID interface de la machine à l'aide d'un alias dynamic ipv6, si changement du prefix par le FAI, opnsense s'occupe de tout
lien : https://docs.opnsense.org/manual/aliases.html#dynamic-ipv6-host
-
Bon en tout cas, ca n'a pas coupé l'accès. (IPv4 et IPv6)
A voir dans la durée.
merci aussi pour le premier retour.
pas de configuration à refaire alors?
-
pas besoin de changer quoi que ce soit
-
merci aussi pour le premier retour.
pas de configuration à refaire alors?
Non, non tout fonctionne nominalement.
-
upgrade sans soucis.
et la gestion des "sous" préfixes en mode track interface sur plus qu'une interface "interne" en ipv6 fonctionne ;D
avant seul le préfixe 0 fonctionnait, ça doit être lié à cette ligne dans les release notes
dhcp: rewrote both IPv4 and IPv6 lease pages using MVC/API
-
Merci à vous pour vos retours.
J'ai également fait l'update, sans aucun souci.
-
Hello,
Pour info une 2.37.1 vient de sortir !
Quelqu'un a déjà fait l'update ?
-
Pour info une 2.37.1 vient de sortir !
Quelqu'un a déjà fait l'update ?
Faite ici, sans problème.
-
Merci
Je vais la lancer aussi !
-
Bonjour, alors voilà j'ai fait le remplacement de ma lb5 avec offre 2gb il y a maintenant 2ans avec ONU fs.com et un opnsense virtualisé sous proxmox (avec le module réseau proxmox patché pour avoir la liaison 2.5gb), tout marche bien depuis, ipv4 et ipv6, et une stabilité a toute épreuve, par contre je me suis jamais lancé dans la configuration TV jusqu'à maintenant, le décodeur étant trop loin du serveur opnsense j'ai d'abord essayer de le faire marcher en wifi = aucune connection du décodeur a mon wifi maison, j'ai donc déplacé le décodeur UHD pour essayer de le faire marcher en câblé, j'ai mis en place l'option 125 et le décodeur se connecte maintenant a mon réseau, j'ai mis en place le VLAN840 comme sur le tuto ici en 1ere page et le proxy IGMP, avec les DNS de orange dans mon DHCP, le problème c'est que je n'ai toujours pas de flux tv et le décodeur fini par m'afficher erreur L11-04 puis ensuite L11-06
Le setup de la tv étant normalement le plus simple et pourtant là je bloque :(
J'ai mis quelque screenshot de ma configuration opnsense ici: https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg1030101/#msg1030101
-
J'ai une règle côté lan pour faire passer le trafic igmp. Dans cette règle il faut cocher la case allow option.
-
J'ai une règle côté lan pour faire passer le trafic igmp. Dans cette règle il faut cocher la case allow option.
merci j'étais justement en train de voir ça ils en parlaient sur le forum opnsense, je l'ai activé sur mon LAN et le VLAN840 maintenant je vois des packets IGMP passé dans le liveview sur l'interface opnsense mais toujours la même erreur sur le décodeur L11-06 et pas de flux
Et toujours rien sur le flux orange arte udp://@232.0.1.5:8200 même si je vois la requête passé (https://i.imgur.com/gRr8Jkk.png)
-
Tu as coché l'option : allow options dans la règle?
-
Oui dans le LAN et VLAN840
Ma règles VLAN840: (https://i.imgur.com/zL4GYiz.png)
-
J'AI TROUVE, en forçant mon adresse lan sur le proxy igmp et avec l'option allow et reboot ça marche maintenant ;D
Maintenant, le faire marcher en wifi ;)
-
J'allais dire que dans service -> proxy igmp tu n'avais rien mis en downstream (il faut mettre son range lan ou les ips de tes décodeurs) mais si ca marche comme ca, touche à rien
Le faire marcher en wifi, j'y essaye aussi.
@zlippy a réussi avec ce modèle (il faut encore que je l'achète pour tester)
Bonjour et désolé pour la réponse tardive
j 'utilise un ASUS AC68U.
Avec un décodeurs HD ça marche nickel, en revanche avec 2 c'est pas le top.
cordialement
-
C'est bon j'ai mon décodeur UHD en wifi !
-
Tu utilises quoi comme modèle de borne wifi ?
-
Alors j'ai utilisé le répéteur wifi 6 que j'ai pris avec la LB5, je ferais un petit tuto bientôt :)
-
ras sur upgrade 23.7.2 :)
-
Bonjour à tous,
Je m'attaque à la partie TV et je bloque depuis plusieurs jours.
J'ai bien suivi les tutos (trouvé sur le forum) mais j'ai une particularité: Je n'ai pas de port dédié à la TV sur mon routeur.
Pour résumé, les 4 ports de mon routeurs sont branché de la façon suivante :
1 port WAN qui arrive de l'ONT
1 port LAN dédié à l'administration
2 ports en LACP pour les 7 VLANs de mon infras
Tout passe par un switch Cisco C1000.
4 VLANs (mais pas celui de la TV) passent en Trunk vers un AP Unifi Long Range.
Le VLAN 7 (celui de la TV) est sur un port du switch en mode access sur lequel est branché en ethernet mon tuner TV.
Le tuner n'arrive pas à se connecter cher Orange et fini par me cracher une s01-03.
Pouvez vous m'indiquer les DNS Orange que vous utiliser ?
Et sur quel DHCP de quel vlan vous positionnez les DNS et l'option 125 (vlan840 ou mon vlanTV le 7) ?
Je ne suis pas chez moi ce soir mais j'essaierai de vous poster des captures de ma conf très vite.
Sauf si qq à une bonne idée d'ici là ::)
Merci à vous
-
Et sur quel DHCP de quel vlan vous positionnez les DNS et l'option 125 (vlan840 ou mon vlanTV le 7) ?
Dans ton cas VLAN7.
Il faut également configurer un proxy IGMP avec le VLAN840 en upstream et le VLAN7 en downstream.
-
Bonjour,
Pour ma part je suis sur un Mikrotik mais c'est le même principe, bien que dans mon cas j'ai un port dédié à la TV sur le routeur.
J'ai créé un serveur DHCP sur le port que j'ai dédié à la TV, et j'y ai assigné les options 119 et 125. Dans ton cas c'est effectivement sur le VLAN7 que tu devrais les affecter.
Dans mon cas, j'ai dû fabriquer en partie moi-même l'option 125, car celle que j'avais récupéré avec l'outil LiveboxMonitor ou autre (j'en ai utilisé plusieurs, je ne sais plus exactement lequel) était incomplète.
Cela m'a permis de corriger une première erreur que j'avais sur le décodeur, similaire à la tienne.
Voilà ce que j'ai suivi pour que mon option 125 soit correcte : (j'avais beaucoup de 0 dans l'option récupérée auparavant, que j'ai remplacé avec les valeurs adéquates)
https://lafibre.info/remplacer-livebox/reverse-engineering-decodeur-uhd-dtiw385-wip/msg748896/#msg748896 (https://lafibre.info/remplacer-livebox/reverse-engineering-decodeur-uhd-dtiw385-wip/msg748896/#msg748896)
Ensuite, j'ai créé une règle de proxy IGMP sur le vlan840 en suivant les instructions sur le sujet Mikrotik bien connu du forum. J'en ai également créé une pour l'interface dédiée à mon décodeur.
Ces deux règles correspondent aux upstream et downstream que tu as sur OPNsense.
Cependant, cela ne marchait toujours pas, j'avais maintenant une erreur m'indiquant un problème de connexion avec la Livebox. Peut-être le même que toi. Et mon serveur DHCP s'affichait en rouge dans l'interface Mikrotik, m'indiquant qu'il y avait une erreur quelque part.
Et après un peu de recherche, le problème venait du fait que je n'avais pas assigné d'IP au routeur sur le vlan840, et donc sans ça, le proxy IGMP ne fonctionne pas.
Dans ton cas, j'imagine qu'il faut donc que tu assignes une IP à ton routeur sur le vlanTV 7, si je comprends bien la solution de ce message ??? :
https://lafibre.info/remplacer-livebox/opnsense-remplacer-livebox-aucune-modification-necessaire/msg1030246/#msg1030246 (https://lafibre.info/remplacer-livebox/opnsense-remplacer-livebox-aucune-modification-necessaire/msg1030246/#msg1030246)
Sinon, tente sur les deux si ça ne marche pas sur l'un des deux...
Dès que j'ai fait cette modification, le flux TV est directement apparu sur mon décodeur.
Sinon, pour les DNS, sur le DHCP dédié à la TV, j'utilise ceux qui étaient renvoyés par ma Livebox, à savoir : 80.10.246.1 et 81.253.149.9
-
Merci pour toutes ces infos.
Je teste ça demain et je vous fais un retour.
Par contre, je n’avais pas vu l’option 119 (je connaissais la 125).
Elle sert à quoi la 119?
-
Au temps pour moi, elle est apparemment inutile. Je l’avais tentée lorsque je suivais des configs du forum.
Je me rappelle que quelqu’un, dans un certain désespoir, avait mis tout un tas d’options inutiles dans le serveur DHCP pour son service TV, et j’avais oublié d’enlever l’option 119 dans le mien suite à mes tests, vu que cela fonctionnait avec.
L’option 119 correspondrait à la téléphonie. Ne mettre que l’option 125 sur le DHCP TV devrait donc être suffisant.
Je n’ai pas encore tenté la TV sans l’option 119 ceci dit, mais logiquement ça ne devrait rien changer si j’en crois les membres du forum lorsque je cherche à propos de cette option.
https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/msg596234/#msg596234 (https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/msg596234/#msg596234)
-
Merci DeftlyTrite et zoc pour vos conseils.
Cela m'a permis de tout vérifier mais encore une fois le problème était entre l'écran et le fauteuil. :-\
Mon problème était du coté du switch. En effet, lorsque j'ai ajouté mon vlan7 (vlanTV), j'ai oublié de l'ajouter dans le trunk de mon aggrégation de port LACP sur mon switch...
J'ai vu cela ce soir, je ne faisais passer que les 6 vlans sauf le 7.
Top, ca marche d'enfer maintenant. :)
Je me repose un peu et je m'attaquerai à la téléphonie mais la cela semble plus lourd.
Thx
-
Hiigara,
Si tu parles de "vlan-pcp 6" dans option modifier, je l’ai mis depuis le début et ça ne change rien.
Y a t’il un moyen de voir un response d’orange dans pcap ?
J’ai chopé les trames mais je ne trouve rien
Bonjour Karon,
J'ai cru comprendre que pour la partie internet, c'était résolu vu que tu attaquais la partie TV.
Qu'est-ce qui posait problème au final ? car j'ai exactement le même soucis que toi :(
Pour les autres, j'ai suivis le tuto : https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html#introduction
Et aussi beaucoup de message un peu partout (sur ce forum, celui de OPN sense et PC impact) mais je n'arrive toujours pas à avoir internet...
VLAN 832 :
(https://i.ibb.co/hW2wfpG/VLAN-832.png) (https://ibb.co/hW2wfpG)
Paramétrage WAN :
(https://i.ibb.co/grBLMW7/wan-1.png) (https://ibb.co/grBLMW7)
(https://i.ibb.co/Xsf4ScP/wan-2.png) (https://ibb.co/Xsf4ScP)
- DHCP client configuration :
Send Options : dhcp-class-identifier "sagem", user-class "+FSVDSL_livebox.Internet.softathome.Livebox5", option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2F:XXXXX
Request Options : subnet-mask, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, routers, domain-name-servers, option-90
- DHCPv6 client configuration :
Send Options : ia-pd 0, raw-option 6 00:0b:00:11:00:17:00:18, raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33, raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d, raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0D:66:74:69:2FXXXXX
Paramétrage LAN :
(https://i.ibb.co/b15qqbh/lan-1.png) (https://ibb.co/b15qqbh)
(https://i.ibb.co/R4GxRLz/lan-2.png) (https://ibb.co/R4GxRLz)
Assignements :
(https://i.ibb.co/R0q0pw7/assignement.png) (https://ibb.co/R0q0pw7)
Sur le Dashboard :
(https://i.ibb.co/6BTThnc/Dashboard.png) (https://ibb.co/6BTThnc)
-
Bonjour Grozax,
Mon problème venait simplement d'une mauvaise assignation du Vlan 832.
Peux-tu faire une capture de la déclaration de ton vlan0.1.832 ?
-
Bonjour Grozax,
Mon problème venait simplement d'une mauvaise assignation du Vlan 832.
Peux-tu faire une capture de la déclaration de ton vlan0.1.832 ?
tu parle de quelle partie ? car il me semble avoir mis toutes les captures ???
-
Depuis l'update vers 23.7.5, j'observe une perte d'IPV6 dans mon LAN. Je récupère bien l'adresse chez Orange, et si je teste juste après un reboot cela fonctionne, mais quelques temps après, la propagation de l'adresse dans le LAN ne semble plus fonctionner.
Le redémarrage du serveur DHCP v6 ne change rien.
Vous voyez ça également par chez vous ?
-
pour le moment je n'ai pas vu ce soucis depuis l'update. je vérifierai ce soir.
edit: pas de soucis vu, vérifié hier et ce matin.
-
Ok merci pour ton retour Jeannot.
Il est bien possible que ce soit une mise à jour qui se soit mal passée de mon côté.
Je vais remettre tout au propre.
-
j'ai juste vérifié que mon tel et les pc récupéraient une ip en v6 et arrivaient à communiquer avec, je ne suis pas allé plus loin.
il y a 3 préfixes dans ma conf et je vois bien les ip dans tous les préfixes dans la table ndp.
uptime de presque 6 jours après la mise à jour en 23.7.5.
-
bizarrerie avec l'update 23.7.7_3 : tout le traffic sortant était bloqué après la mise à jour. obligé de créer une règle flottante pour autoriser le subnet LAN à sortir. :o
du coup la règle fixée sur l'interface LAN ne matche pas. ça ne le fait pas pour les autres interfaces internes. bizarre.
-
Bonjour à tous
j'essaie de capturer le trafic de ma LB4 avec Whireshark via un portable sous Debian et un switch très basique (non manageable).
je parviens à capturé tout le trafic mais rien du DHCPV6.
je me souviens avoir fait cette manip en 2019 et cela avait bien fonctionné. je dois zappé un truc.
Merci pour votre Aide
-
Le port qui est différent ? (546/547 en DHCPv6)
Perso un simple "tcpdump -i nom_interface_reseau port 67 or port 68 or port 546 or port 547 -w /tmp/traces_dhcp.pcap" me permet de capturer tout le trafic DHCP (v4 et v6).
-
Bonjour à tous
Merci à hj67 pour son aide, j'ai réussi à capturé le trafic avec tcpdump.
Pour Info.
J'ai une version 23.1.11 d ' Opnsense qui marche à merveille. En revanche, et heureusement que j'avais un backup,
le mise à jour vers la version 23.7 me parque en 172.X.X.X.
A suivre
-
Bonjour,
Visiblement la mise à jour vers la version 23.7.7 ne se passe pas bien au niveau de la config.
J'ai rechargé la même config depuis mon iMac et tout est rentré dans l'ordre.
J'avais pourtant éteint et rallumé mon Matériel (APU3D4 de pcengines).
-
ça me rassure, ce n'est pas que moi ;D
je n'avais pas essayé de recharger la config. a tester du coup.
-
Hello tout le monde
Avez vous deja eu des problémes de recuperation d'IPV6 sur votre routeur
En regardant dans ma table NDP, je récupere bien ba0bab, mais pas de prefix ipv6, que des fe80 locaux, auriez vous une idée ?
Edit: je vient de tester sur la livebox, j'ai bien un prefix /56, j'utilise la mac de la box sur mon opnsense, j'ai plus trop d'idées
Edit2: Je récupere quand même ba0bab, mais bizarement, pas de prefix
-
problème d'auth? les options sont bien envoyées par le client dhcp? (capture)
-
problème d'auth? les options sont bien envoyées par le client dhcp? (capture)
Je ne pence pas, car j'ai aucun problème en V4, mais je vais ququand même essayer de faire une capture pour en etre sur :)
Edit: Petit TCP Dump pendent un reload de l'interface WAN, je récupere un StatusCode NoPrefixAvail, je comprend pas trop pourquoi
-
Même mac utilisée dans le duid et envoyée pour l'authentification v4 ?
-
Même mac utilisée dans le duid et envoyée pour l'authentification v4 ?
C'est la question que je me suis posé 4 fois ... mais oui, même addresse mac utilisé dans les deux cas
Les logs opnsense me disent "status code: no prefixes", par moment j'ai juste envie de tout réinstaller :-[
J'installe Wireshark pour regarder en profondeur
Edit: En inspectant la capture, mon DUID est bien coherant avec la mac de l'interface, aucune auth ou quoi que sa soit dans le premier solicit, et pas de qos sur tout les messages que j'envoie en fait ??? pourtant, en verifiant, j'ai bien Use VLAN priority de mis sur 6, ??? Je ne sais plus ou donner de la tête
Edit2: je me tromple probablement, on est d'accord que le DSCP et la QOS sont 2 choses "complétement diferantes" ?
Edit3: J'ai capturé le bootup de la livebox, on va voir ce qui ne va pas dans ma conf, car elle recupere bien l'ipv6
Edit4: Bahh, a part le DSCP qui est bien en CS6, il y a rien qui change, je suis perdu :-\
-
Bonjour,
Je viens de souscrire à Orange.
J'ai mon mon SFP, un TP Link MC220L ainsi qu'un routeur OPNsense.
Avant de configurer OPNsense, pouvez-vous me confirmer que les tutoriaux disponibles en 1ère page sont toujours d'actualité ?
Merci !
-
Bonjour,
[...]
Avant de configurer OPNsense, pouvez-vous me confirmer que les tutoriaux disponibles en 1ère page sont toujours d'actualité ?
Merci !
Hello, yep, j'ai refait toute ma config en les suivant ;)
-
Super, merci à toi. Je vais m'en occuper dans la semaine. Bonne soirée.
-
C'est la question que je me suis posé 4 fois ... mais oui, même addresse mac utilisé dans les deux cas
Les logs opnsense me disent "status code: no prefixes", par moment j'ai juste envie de tout réinstaller :-[
J'installe Wireshark pour regarder en profondeur
Edit: En inspectant la capture, mon DUID est bien coherant avec la mac de l'interface, aucune auth ou quoi que sa soit dans le premier solicit, et pas de qos sur tout les messages que j'envoie en fait ??? pourtant, en verifiant, j'ai bien Use VLAN priority de mis sur 6, ??? Je ne sais plus ou donner de la tête
Edit2: je me tromple probablement, on est d'accord que le DSCP et la QOS sont 2 choses "complétement diferantes" ?
Edit3: J'ai capturé le bootup de la livebox, on va voir ce qui ne va pas dans ma conf, car elle recupere bien l'ipv6
Edit4: Bahh, a part le DSCP qui est bien en CS6, il y a rien qui change, je suis perdu :-\
il y a eu des bizarreries dernièrement. juste recharger la conf pour voir?
CoS > Niveau 2, DSCP > Niveau 3. En général on cherche à avoir une correspondance entre les deux pour les équipements qui ne comprennent pas (ou ne doivent pas voir) la couche IP.
-
il y a eu des bizarreries dernièrement. juste recharger la conf pour voir?
CoS > Niveau 2, DSCP > Niveau 3. En général on cherche à avoir une correspondance entre les deux pour les équipements qui ne comprennent pas (ou ne doivent pas voir) la couche IP.
J'avais pas de backups de ma conf, du coup j'ai réinstallé en 23.7, pas encore mis a jour en 23.7.8, backup de la configuration avant, pour le moment toujours pas d'ipv6, alors que la livebox récupere bien le prefix, je vais refaire quelques captures
EDIT: Aprés avoir "débranché 5min, un coup de "dans-le-doute-reboot", un fois revenu, rebranché -> bound sur ipv6", comme le suggere Cyayon ici https://lafibre.info/remplacer-livebox/guide-de-connexion-fibre-directement-sur-un-routeur-voire-meme-en-2gbps/msg1019476/#msg1019476 c'est effectivement revenu !
-
Bonjour tout le monde,
J’ai bien suivi le tuto et tout fonctionne bien de mon côté. Par contre, est-ce que vous savez comment faire pour que l’interface Wan (le vlan 832) ait lui même une adresse IPv6. Actuellement, j’obtiens bien la délégation, j’ai des IPv6 sur mes différents vlans internes, mais l’interface Wan est toujours sans IPv6.
Merci d’avance
-
c'est normal :)
j'avais essayé de créer une loopback en mode track et lui allouer un préfixe, mais sans succès: l'ipv6 est coupé sur toutes les interfaces. c'est sans doute pas la bonne façon de faire et je n'ai pas pris le temps de bien faire.
-
L'interface wan n'a pas besoin d'IPv6.
Une seule IPv6 est suffisante (que tu as dû attribuer à une autre interface ?)
-
L'interface wan n'a pas besoin d'IPv6.
Une seule IPv6 est suffisante (que tu as dû attribuer à une autre interface ?)
Oui, j'ai bien configuré le tracking et mes périphériques récupèrent une ipv6. Par contre, je ne suis pas d'accord sur le fait que l'interface Wan n'a pas besoin d'ipv6. Il y a des services qui tournent sur opnsense qui se connectent directement à internet et qui potentiellement peuvent bénéficier d'une adresse IPV6. Je pense par exemple à Unbound, qui ne pourra pas résoudre une adresse si le serveur faisant autorité n'est qu'en IPv6 (c'est rare mais dans le futur ?). Ou aussi si Wireguard est configuré en tant que client. Ou pour accéder à Opnsense depuis internet en ipv6 (et ne pas faire écouter l'ui web sur toutes les interfaces réseau). Bref, l'IPv6 sur le Wan devrait être possible.
-
Je confirme ce qui a été dit plus haut. Une adresse IPv6 sur le WAN est inutile si au moins une interface du LAN en a une. Et ça n’empêche absolument pas le routeur de communiquer en IPv6 sur le WAN (le routeur utilisera une des GUA disponible sur une autre interface). C’est ce que je fais chez moi et ça n’a jamais empêché mon routeur de faire du wireguard (j’ai un VPN site to site et un autre roadwarrior) en IPv6.
Mettre une IPv6 sur le port WAN, c’est juste gaspiller 2^64-1 adresses IP.
En fait la meilleure pratique en IPv6 serait d’attribuer une et une seule adresse GUA au routeur (sur une interface loopback), et d’utiliser exclusivement les adresses Link Local pour tout ce qui est routage.
-
Je confirme ce qui a été dit plus haut. Une adresse IPv6 sur le WAN est inutile si au moins une interface du LAN en a une. Et ça n’empêche absolument pas le routeur de communiquer en IPv6 sur le WAN (le routeur utilisera une des GUA disponible sur une autre interface). C’est ce que je fais chez moi et ça n’a jamais empêché mon routeur de faire du wireguard (j’ai un VPN site to site et un autre roadwarrior) en IPv6.
Mettre une IPv6 sur le port WAN, c’est juste gaspiller 2^64-1 adresses IP.
En fait la meilleure pratique en IPv6 serait d’attribuer une et une seule adresse GUA au routeur (sur une interface loopback), et d’utiliser exclusivement les adresses Link Local pour tout ce qui est routage.
En ayant un /56, je pense qu'on peut se permettre d'allouer un /64 sur le wan sans que ça pose problème d'un manque d'IP. Et de ce que j'ai testé, du moins sur Unbound, la communication en IPv6 ne fonctionne pas en sortie si on fixe l'interface de sortie de Unbound (j'avais mis le vlan 832) et qu'on n'a pas d'adresse v6 dessus.
Et la question n'est pas vraiment de si je devrais le faire ou pas, mais est-ce que c'est possible techniquement ou bien ça n'est pas le cas actuellement sur Opnsense ?
-
Bonjour,
Je viens de souscrire à Orange.
J'ai mon mon SFP, un TP Link MC220L ainsi qu'un routeur OPNsense.
Avant de configurer OPNsense, pouvez-vous me confirmer que les tutoriaux disponibles en 1ère page sont toujours d'actualité ?
Merci !
Bonjour à tous! Voulant aussi remplacer ma livebox par quelque chose de moin boite noir, je viens de tomber sur ce fil très intéressant.
je vois que tu pars sur un TP Link comme ONT, il y a d'autre ref pour pouvoir profiter de l'offre 2Gbps d'Orange, acutellement j'ai 1,9G depuis le test de la LB j'aimera bien passé le routeur OP en 2.5G du coup.
Merci
-
Bonjour à tous! Voulant aussi remplacer ma livebox par quelque chose de moin boite noir, je viens de tomber sur ce fil très intéressant.
je vois que tu pars sur un TP Link comme ONT, il y a d'autre ref pour pouvoir profiter de l'offre 2Gbps d'Orange, acutellement j'ai 1,9G depuis le test de la LB j'aimera bien passé le routeur OP en 2.5G du coup.
Merci
Hello, de mon coté, J'ai un ONT Leox LXT-010H-D, ainsi qu'un ONT SFP Huawei, "plus compliqué" à mettre en place, si tu cherche quelque chose de "Plug&Play" tourne toi vers le Leox, tu aura juste a le configurer, le brancher sur unr carte 2.5G de ton opnsense, configurer ton opnsense, et PAF, tu surfera en 2.5G sur le net !
Oublie pas non plus de check ce sujet https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/ (https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/) pour tout ce qui est identification coté WAN (orange)
Have fun ;D
-
Merci Tom.exe pour la reférence. Tu as un site ou l'acheter?
Ici le prix est a 0€, c'est curieux car j'arrive quand même jusqu'au checkout ou je dois payer que les frais de port..
http://xbest.pl/index.php?p5117,ont-gpon-lxt-010h-d-leox-1x2-5ge-1xgpon-sc-apc
-
Merci Tom.exe pour la reférence. Tu as un site ou l'acheter?
Ici le prix est a 0€, c'est curieux car j'arrive quand même jusqu'au checkout ou je dois payer que les frais de port..
http://xbest.pl/index.php?p5117,ont-gpon-lxt-010h-d-leox-1x2-5ge-1xgpon-sc-apc
Pas de probléme
Hesite pas a leur envoyer un message par leur formulaire de contact en bas de page, il revienderons vers toi dans la semeine :) c'est comme ça que j'ai fait pour avoir le mien
-
Je suis en train de faire ma liste de course, vous auriez des switchs managable POE+ 16/24 ports avec des SFP 2.5g à des tarifs raisonables?
Je voulais faire quelque chose comme ça:
ONT2.5G > Switch 2.5G x 5 port > Switch POE SFP2.5G. Sinon je prends un Switch 1G avec un LAG entre les deux switchs...
-
Je suis en train de faire ma liste de course, vous auriez des switchs managable POE+ 16/24 ports avec des SFP 2.5g à des tarifs raisonables?
Je voulais faire quelque chose comme ça:
ONT2.5G > Switch 2.5G x 5 port > Switch POE SFP2.5G. Sinon je prends un Switch 1G avec un LAG entre les deux switchs...
Hello, de mon coté sa fait:
ONT 2.5 > OPNSense avec carte SFP+ > Switch 10Gig Ubiquiti 8P (remplacable par un mikrotik 4S+1G POE) > Switch 1G Unifi sans LAG > Devices / AP
-
Bonjour à tous,
(https://i.postimg.cc/9XKCTrhS/PXL-20231130-131606359.jpg)
Je galère depuis quelques jours. J'avais créé mon vlan 832, mais je ne l'avais pas activé en tant que wan. Là j'obtiens bien une IP, même si elle est parkée...
Quelle pourrait être la cause ?
-
que donne la capture pour voir les paramètres envoyés par le client dhcp?
-
Je précise que je suis novice...
Qu'entends-tu par capture ?
-
il est possible de faire une capture tcpdump sur n'importe quelle interface.
dans ce cas il faut vérifier ce qu'envoit ton opnsense dans la requête (que tous les paramètres soient bien envoyés) et la réponse.
peut-être pas lié : c'est comme ça que j'avais vu que le copier coller du site avait inclut le mauvais type de double quote, et donc mon client n'envoyait aucune option dans la requête de bail.
Enfin le contrôle de la configuration commence par là si tous les paramètres sont bien configurés.
-
Interface Horodatage UNIX SRC DST output
WAN
vlan0.1.832 2023-12-03
14:15:18.900275 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 79: 172.16.240.11.15359 > 1.1.1.1.53: UDP, length 37
WAN
vlan0.1.832 2023-12-03
14:15:18.900302 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 79: 172.16.240.11.20118 > 1.0.0.1.53: UDP, length 37
WAN
vlan0.1.832 2023-12-03
14:15:19.706140 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 81: 172.16.240.11.13702 > 1.0.0.1.53: UDP, length 39
WAN
vlan0.1.832 2023-12-03
14:15:19.706259 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 81: 172.16.240.11.20247 > 1.0.0.1.53: UDP, length 39
WAN
vlan0.1.832 2023-12-03
14:15:19.706843 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 81: 172.16.240.11.25364 > 1.0.0.1.53: UDP, length 39
WAN
vlan0.1.832 2023-12-03
14:15:19.870322 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 85: 172.16.240.11.44242 > 1.1.1.1.53: UDP, length 43
WAN
vlan0.1.832 2023-12-03
14:15:19.870342 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 85: 172.16.240.11.28711 > 1.0.0.1.53: UDP, length 43
WAN
vlan0.1.832 2023-12-03
14:15:19.958727 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 85: 172.16.240.11.41038 > 1.0.0.1.53: UDP, length 43
WAN
vlan0.1.832 2023-12-03
14:15:20.215215 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 85: 172.16.240.11.36702 > 1.1.1.1.53: UDP, length 43
WAN
vlan0.1.832 2023-12-03
14:15:20.215519 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 85: 172.16.240.11.63411 > 1.1.1.1.53: UDP, length 43
WAN
vlan0.1.832 2023-12-03
14:15:20.215951 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 85: 172.16.240.11.34560 > 1.1.1.1.53: UDP, length 43
WAN
vlan0.1.832 2023-12-03
14:15:20.423450 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 91: 172.16.240.11.63029 > 1.1.1.1.53: UDP, length 49
WAN
vlan0.1.832 2023-12-03
14:15:20.423472 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 91: 172.16.240.11.2696 > 1.0.0.1.53: UDP, length 49
WAN
vlan0.1.832 2023-12-03
14:15:20.452959 d6:f4:0f:c1:c7:d3 33:33:ff:a0:0b:ab IPv6, length 86: fe80::d4f4:fff:fec1:c7d3 > ff02::1:ffa0:bab: ICMP6, neighbor solicitation, who has fe80::ba0:bab, length 32
WAN
vlan0.1.832 2023-12-03
14:15:20.960971 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 85: 172.16.240.11.45435 > 1.1.1.1.53: UDP, length 43
-
J'avoue ne pas y comprendre grand chose...
vtnet0 2023-12-03
14:19:46.704909 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 95: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 44273, offset 0, flags [none], proto UDP (17), length 77)
172.16.240.11.65329 > 1.1.1.1.53: [udp sum ok] 63281+ A? content-autofill.googleapis.com. (49)
vtnet0 2023-12-03
14:19:46.861711 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 95: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 50537, offset 0, flags [none], proto UDP (17), length 77)
172.16.240.11.58795 > 1.0.0.1.53: [udp sum ok] 63281+ A? content-autofill.googleapis.com. (49)
vtnet0 2023-12-03
14:19:47.010437 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 70: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 23083, offset 0, flags [DF], proto TCP (6), length 52)
172.16.240.11.52129 > 188.114.96.2.53434: Flags , cksum 0xf214 (correct), seq 1381227209, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
vtnet0 2023-12-03
14:19:47.543616 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 75: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 55730, offset 0, flags [none], proto UDP (17), length 57)
172.16.240.11.29790 > 80.10.246.5.53: [udp sum ok] 6733+ A? www.ovh.com. (29)
vtnet0 2023-12-03
14:19:47.864956 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 95: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 44274, offset 0, flags [none], proto UDP (17), length 77)
172.16.240.11.65329 > 1.1.1.1.53: [udp sum ok] 63281+ A? content-autofill.googleapis.com. (49)
vtnet0 2023-12-03
14:19:49.867668 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 95: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 44275, offset 0, flags [none], proto UDP (17), length 77)
172.16.240.11.65329 > 1.1.1.1.53: [udp sum ok] 63281+ A? content-autofill.googleapis.com. (49)
vtnet0 2023-12-03
14:19:49.867687 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 95: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 50538, offset 0, flags [none], proto UDP (17), length 77)
172.16.240.11.58795 > 1.0.0.1.53: [udp sum ok] 63281+ A? content-autofill.googleapis.com. (49)
vtnet0 2023-12-03
14:19:50.587437 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 75: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 62913, offset 0, flags [none], proto UDP (17), length 57)
172.16.240.11.1913 > 81.253.149.13.53: [udp sum ok] 6733+ A? www.ovh.com. (29)
vtnet0 2023-12-03
14:19:51.566285 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 74: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 9910, offset 0, flags [none], proto UDP (17), length 56)
172.16.240.11.55146 > 192.112.36.4.53: [udp sum ok] 64246% [1au] NS? . ar: . OPT UDPsize=1232 DO (28)
vtnet0 2023-12-03
14:19:51.797722 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 87: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 12955, offset 0, flags [none], proto UDP (17), length 69)
172.16.240.11.14512 > 80.10.246.5.53: [udp sum ok] 21082+ AAAA? 0.opnsense.pool.ntp.org. (41)
vtnet0 2023-12-03
14:19:53.327299 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 70: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 23912, offset 0, flags [DF], proto TCP (6), length 52)
172.16.240.11.24573 > 188.114.97.2.53434: Flags , cksum 0x4c3f (correct), seq 3458494322, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
vtnet0 2023-12-03
14:19:53.882091 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 95: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 44276, offset 0, flags [none], proto UDP (17), length 77)
172.16.240.11.65329 > 1.1.1.1.53: [udp sum ok] 63281+ A? content-autofill.googleapis.com. (49)
vtnet0 2023-12-03
14:19:53.882100 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 95: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 50539, offset 0, flags [none], proto UDP (17), length 77)
172.16.240.11.58795 > 1.0.0.1.53: [udp sum ok] 63281+ A? content-autofill.googleapis.com. (49)
vtnet0 2023-12-03
14:19:54.335972 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 70: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 23913, offset 0, flags [DF], proto TCP (6), length 52)
172.16.240.11.24573 > 188.114.97.2.53434: Flags , cksum 0x4c3f (correct), seq 3458494322, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
vtnet0 2023-12-03
14:19:54.497984 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 74: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 48164, offset 0, flags [none], proto UDP (17), length 56)
172.16.240.11.51522 > 192.58.128.30.53: [udp sum ok] 4705% [1au] NS? . ar: . OPT UDPsize=1232 DO (28)
vtnet0 2023-12-03
14:19:54.889079 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 87: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 59249, offset 0, flags [none], proto UDP (17), length 69)
172.16.240.11.7820 > 81.253.149.13.53: [udp sum ok] 21082+ AAAA? 0.opnsense.pool.ntp.org. (41)
vtnet0 2023-12-03
14:19:56.341730 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 70: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 23914, offset 0, flags [DF], proto TCP (6), length 52)
172.16.240.11.24573 > 188.114.97.2.53434: Flags , cksum 0x4c3f (correct), seq 3458494322, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
vtnet0 2023-12-03
14:19:59.787643 d6:f4:0f:c1:c7:d3 33:33:ff:a0:0b:ab ethertype 802.1Q (0x8100), length 90: vlan 832, p 0, ethertype IPv6, (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::d4f4:fff:fec1:c7d3 > ff02::1:ffa0:bab: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::ba0:bab
source link-address option (1), length 8 (1): d6:f4:0f:c1:c7:d3
0x0000: d6f4 0fc1 c7d3
vtnet0 2023-12-03
14:20:00.353596 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 70: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 23915, offset 0, flags [DF], proto TCP (6), length 52)
172.16.240.11.24573 > 188.114.97.2.53434: Flags , cksum 0x4c3f (correct), seq 3458494322, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
vtnet0 2023-12-03
14:20:00.831332 d6:f4:0f:c1:c7:d3 33:33:ff:a0:0b:ab ethertype 802.1Q (0x8100), length 90: vlan 832, p 0, ethertype IPv6, (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::d4f4:fff:fec1:c7d3 > ff02::1:ffa0:bab: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::ba0:bab
source link-address option (1), length 8 (1): d6:f4:0f:c1:c7:d3
0x0000: d6f4 0fc1 c7d3
vtnet0 2023-12-03
14:20:01.894061 d6:f4:0f:c1:c7:d3 33:33:ff:a0:0b:ab ethertype 802.1Q (0x8100), length 90: vlan 832, p 0, ethertype IPv6, (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::d4f4:fff:fec1:c7d3 > ff02::1:ffa0:bab: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::ba0:bab
source link-address option (1), length 8 (1): d6:f4:0f:c1:c7:d3
0x0000: d6f4 0fc1 c7d3
vtnet0 2023-12-03
14:20:03.088304 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 99: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 59124, offset 0, flags [none], proto UDP (17), length 81)
172.16.240.11.27173 > 80.10.246.5.53: [udp sum ok] 48708+ A? 0.opnsense.pool.ntp.org.localdomain. (53)
vtnet0 2023-12-03
14:20:04.097733 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 99: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 59898, offset 0, flags [none], proto UDP (17), length 81)
172.16.240.11.34369 > 81.253.149.13.53: [udp sum ok] 48708+ A? 0.opnsense.pool.ntp.org.localdomain. (53)
vtnet0 2023-12-03
14:20:08.357331 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 70: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 23916, offset 0, flags [DF], proto TCP (6), length 52)
172.16.240.11.24573 > 188.114.97.2.53434: Flags , cksum 0x4c3f (correct), seq 3458494322, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
vtnet0 2023-12-03
14:20:14.359787 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 70: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 23084, offset 0, flags [DF], proto TCP (6), length 52)
172.16.240.11.23767 > 188.114.96.2.53434: Flags , cksum 0xc1fc (correct), seq 1214677913, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
vtnet0 2023-12-03
14:20:15.187643 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 99: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 40344, offset 0, flags [none], proto UDP (17), length 81)
172.16.240.11.27173 > 80.10.246.5.53: [udp sum ok] 48708+ A? 0.opnsense.pool.ntp.org.localdomain. (53)
vtnet0 2023-12-03
14:20:15.361554 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 70: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 23085, offset 0, flags [DF], proto TCP (6), length 52)
172.16.240.11.23767 > 188.114.96.2.53434: Flags , cksum 0xc1fc (correct), seq 1214677913, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
vtnet0 2023-12-03
14:20:15.687781 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 74: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 37766, offset 0, flags [none], proto UDP (17), length 56)
172.16.240.11.29322 > 199.7.83.42.53: [udp sum ok] 7592% [1au] NS? . ar: . OPT UDPsize=1232 DO (28)
vtnet0 2023-12-03
14:20:16.012824 68:4a:ae:9d:6d:dd 01:00:5e:00:00:01 ethertype 802.1Q (0x8100), length 60: vlan 840, p 5, ethertype IPv4, (tos 0x0, ttl 1, id 0, offset 0, flags [DF], proto IGMP (2), length 32, options (RA))
0.0.0.0 > 224.0.0.1: igmp query v2
vtnet0 2023-12-03
14:20:17.363643 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 70: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 23086, offset 0, flags [DF], proto TCP (6), length 52)
172.16.240.11.23767 > 188.114.96.2.53434: Flags , cksum 0xc1fc (correct), seq 1214677913, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
vtnet0 2023-12-03
14:20:18.338251 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 99: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 35626, offset 0, flags [none], proto UDP (17), length 81)
172.16.240.11.34369 > 81.253.149.13.53: [udp sum ok] 48708+ A? 0.opnsense.pool.ntp.org.localdomain. (53)
vtnet0 2023-12-03
14:20:18.601981 d6:f4:0f:c1:c7:d3 33:33:ff:a0:0b:ab ethertype 802.1Q (0x8100), length 90: vlan 832, p 0, ethertype IPv6, (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::d4f4:fff:fec1:c7d3 > ff02::1:ffa0:bab: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::ba0:bab
source link-address option (1), length 8 (1): d6:f4:0f:c1:c7:d3
0x0000: d6f4 0fc1 c7d3
vtnet0 2023-12-03
14:20:19.603283 d6:f4:0f:c1:c7:d3 33:33:ff:a0:0b:ab ethertype 802.1Q (0x8100), length 90: vlan 832, p 0, ethertype IPv6, (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::d4f4:fff:fec1:c7d3 > ff02::1:ffa0:bab: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::ba0:bab
source link-address option (1), length 8 (1): d6:f4:0f:c1:c7:d3
0x0000: d6f4 0fc1 c7d3
vtnet0 2023-12-03
14:20:20.604292 d6:f4:0f:c1:c7:d3 33:33:ff:a0:0b:ab ethertype 802.1Q (0x8100), length 90: vlan 832, p 0, ethertype IPv6, (hlim 255, next-header ICMPv6 (58) payload length: 32) fe80::d4f4:fff:fec1:c7d3 > ff02::1:ffa0:bab: [icmp6 sum ok] ICMP6, neighbor solicitation, length 32, who has fe80::ba0:bab
source link-address option (1), length 8 (1): d6:f4:0f:c1:c7:d3
0x0000: d6f4 0fc1 c7d3
vtnet0 2023-12-03
14:20:21.367798 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 70: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 23087, offset 0, flags [DF], proto TCP (6), length 52)
172.16.240.11.23767 > 188.114.96.2.53434: Flags , cksum 0xc1fc (correct), seq 1214677913, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
vtnet0 2023-12-03
14:20:23.897723 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 74: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 21848, offset 0, flags [none], proto UDP (17), length 56)
172.16.240.11.13762 > 198.41.0.4.53: [udp sum ok] 51547% [1au] NS? . ar: . OPT UDPsize=1232 DO (28)
vtnet0 2023-12-03
14:20:26.387369 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 99: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 37515, offset 0, flags [none], proto UDP (17), length 81)
172.16.240.11.65071 > 80.10.246.5.53: [udp sum ok] 16671+ AAAA? 0.opnsense.pool.ntp.org.localdomain. (53)
vtnet0 2023-12-03
14:20:27.456477 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 99: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 64, id 14443, offset 0, flags [none], proto UDP (17), length 81)
172.16.240.11.50298 > 81.253.149.13.53: [udp sum ok] 16671+ AAAA? 0.opnsense.pool.ntp.org.localdomain. (53)
vtnet0 2023-12-03
14:20:29.369850 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 ethertype 802.1Q (0x8100), length 70: vlan 832, p 0, ethertype IPv4, (tos 0x0, ttl 127, id 23088, offset 0, flags [DF], proto TCP (6), length 52)
172.16.240.11.23767 > 188.114.96.2.53434: Flags , cksum 0xc1fc (correct), seq 1214677913, win 64240, options [mss 1460,nop,wscale 8,nop,nop,sackOK], length 0
-
Bingo ! Jeannot tu avais raison, c'était les guillemets ! J'ai maintenant une adresse ipv4 !
Je teste que tout fonctionne puis j'essaie de passer à la partie TV !
-
Pour la TV, j'ai un nouveau problème : "TVLAN is assigned to a free port on your router which the TVDecoder is plugged into later."
Mon OPNsense est installé en tant que VM sur un Mini PC avec seulement 2 ports ethernet...
Config :
ONU ----- port 1 -----> Mini PC ----- port 2 -----> Orbi (AP) -----> décodeur TV
(proxmox+OPNsense)
Je suis bloqué pour utiliser le décodeur TV ou y a-t-il une solution ?
-
Pour la TV, j'ai un nouveau problème : "TVLAN is assigned to a free port on your router which the TVDecoder is plugged into later."[...]
[...]
Je suis bloqué pour utiliser le décodeur TV ou y a-t-il une solution ?
Hello, a tu pencer à faire un VLan, sinon, tu peut utiliser ton lan sans problème :), il faut juste adapter le tuto :)
-
Ca marche. Je vais regarder dès que j'ai un moment.
En te remerciant !
-
Interface Horodatage UNIX SRC DST output
WAN
vlan0.1.832 2023-12-03
14:15:18.900275 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 79: 172.16.240.11.15359 > 1.1.1.1.53: UDP, length 37
WAN
vlan0.1.832 2023-12-03
14:15:18.900302 d6:f4:0f:c1:c7:d3 20:e0:9c:27:91:66 IPv4, length 79: 172.16.240.11.20118 > 1.0.0.1.53: UDP, length 37
WAN
[...]
regarde dans les paquets DHCP_DISCOVER (ou REQUEST j'ai oublié), là c'est juste la liste que te renvoit tcpdump avec les adresses L2 et L3 + protocole de transport. avec wireshark tu peux voir tout le détail du contenu du paquet.
Bingo ! Jeannot tu avais raison, c'était les guillemets ! J'ai maintenant une adresse ipv4 !
Je teste que tout fonctionne puis j'essaie de passer à la partie TV !
avec plaisir ;D
-
Hello, update en 23.7.9 aucun probleme au reboot tout est OK
-
Bon j'ai un souci de déconnexions toutes les 2 min avec OPNsense + routeur Orbi en point d'accès juste derrière
OPNsense + PC en sortie : pas de déconnexions
Livebox + Orbi en point d'accès : pas de déconnexions
Qu'est ce qui pourrait faire la différence entre la Livebox et mon routeur OPNsense ?
-
Un début de piste :
https://community.netgear.com/t5/Orbi-WIFI-6-AX-AND-Wi-Fi-6E-AXE/Why-does-blocking-ICMP-cause-constant-Orbi-reboots/m-p/2319088/highlight/true
Comment activer l'ICMP ?
-
Bon j'ai un souci de déconnexions toutes les 2 min avec OPNsense + routeur Orbi en point d'accès juste derrière
OPNsense + PC en sortie : pas de déconnexions
Livebox + Orbi en point d'accès : pas de déconnexions
Qu'est ce qui pourrait faire la différence entre la Livebox et mon routeur OPNsense ?
De ce que je comprends, c'est le routeur ORBI qui reboot, à priori à cause du comportement d'opnsense.
Normalement l'ICMP de base sur l'interface LAN est activé vers toutes les destinations. Ce que je ferais est d'aller ans le menu firewall > log files > live view et filtrer par IP source sur celle de ton routeur orbi pour voir s'il y a des choses bloquées ou non, et par quelle règle.
-
Après plusieurs essais, des câbles débranchés, rebranchés et échangés, ça fonctionne a priori.
Allons donc pour la partie TV :
(https://i.postimg.cc/SRTVQrv9/TV.png)
Les vlan 838 et 840 ont bien été créés et assignés, mais pour TVLAN, je suis bloqué avec mon mini PC et mes 2 ports ethernet.
Je ne vois pas comment procéder...
-
Les vlan 838 et 840 ont bien été créés et assignés, mais pour TVLAN, je suis bloqué avec mon mini PC et mes 2 ports ethernet.
Je ne vois pas comment procéder...
Tu n'est pas oubligé d'avoir un 3eme port, tu peut faire passer ta TV dans un VLan TV, ou sur ton lan principal, personnelement, la TV a son vlan, mais elle va soon migrer sur un autre ;)
ps: tu a juste besoin du vlan 840, le 838 ne sert ... plus a rien :)
-
Hello tout le monde,
J'ai besoin de conseil, j'hésite entre un UDM pro (il y a des soldes) et mon propre routeur Opnsense. Des avis la dessus?
A savoir que j'ai prévu d'installer deux borne Ubiquiti dans la futur maison. J'ai des besoins de videosurveillance mais dans un second temps. J'ai deja un frigate qui tourne sur Home Assistant.
-
que ce soit l'un ou l'autre ça fonctionnera. ca touche plutôt à celui que tu préfères.
-
l'offre Orange avec la télé fonctionne bien sur l'UDM pro, je n'ai pas encore trouvé ma réponse.
-
Hello, update en 23.7.9 aucun probleme au reboot tout est OK
idem pour la 23.7.10_1 qui a dû sortir aujourd'hui ;D
-
Pour la TV on laisse donc tomber tout ce qui se rapporte à l'option 838 ?
(https://i.postimg.cc/DZx5N7w3/TV.png)
Configuration terminée et pourtant le décodeur n'arrive pas à se connecter... Comparé à la partie internet où on doit envoyer des options 90, ... ça parait pourtant beaucoup plus simple. Pas d'adresse mac ou autre à renseigner ?
Avec des IP de base en 10.0.0.X, j'ai juste remplacé 192.168.X.X par 10.0.X.X
-
Pour la TV on laisse donc tomber tout ce qui se rapporte à l'option 838 ?
Ouaip, plus utilisé
Avec des IP de base en 10.0.0.X, j'ai juste remplacé 192.168.X.X par 10.0.X.X
Je n'ai jamais réussi à faire fonctionner la TV sur un lan en addressage 10.0.x.x personnelement
-
Faut peut être que je repasse en 192.168.x.x dans ce cas
L'option 125, client identifier avec la mac de la livebox tout ça, ça va où ? Y en a pas besoin ?
-
Faut peut être que je repasse en 192.168.x.x dans ce cas
L'option 125, client identifier avec la mac de la livebox tout ça, ça va où ? Y en a pas besoin ?
Dans les options dans la config du serveur DHCP
-
Dans le tuto, c'est au niveau du VLAN 838 que tu envoies les options. Si tu supprimes cette interface, tu les envoies par quel biais ?
-
Je me réponds à moi-même pour ceux qui tomberaient sur ce topic.
Le tuto en 1ère page est fonctionnel pour internet, pas pour la TV.
Niveau TV, pas besoin du VLAN 838.
Pour le TVLAN, ajouter l'option 125 comme ceci dans Services/DHCPV4/TVLAN :
(https://i.postimg.cc/26sHkxg8/125.png)
00:00:0d:e9:24:04:06:YY:YY:YY:YY:YY:YY:05:0f:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:06:09:4c:69:76:65:62:6f:78:20:34
Pour les "XX", convertissez votre numéro de serie de la livebox tv (ascii vers hex)
Exemple : IA2022323438110 devient 494132303232333233343338313130
Pour les "YY", on prend les 3 premiers octects de la mac, à convertir en Hex également.
Exemple : 08:87:C6:B2:D1:90 soit 0887C6 devient 303838374336
Cet exemple, donnerait : '125,00:00:0d:e9:24:04:06:30:38:38:37:43:36:05:0f:49:41:32:30:32:32:33:32:33:34:33:38:31:31:30:06:09:4c:69:76:65:62:6f:78:20:34'
Infos copiées du tuto openwrt. ;)
-
Je me réponds à moi-même pour ceux qui tomberaient sur ce topic.
Le tuto en 1ère page est fonctionnel pour internet, pas pour la TV.
Niveau TV, pas besoin du VLAN 838.
Pour le TVLAN, ajouter l'option 125 comme ceci dans Services/DHCPV4/TVLAN :
(https://i.postimg.cc/26sHkxg8/125.png)
00:00:0d:e9:24:04:06:YY:YY:YY:YY:YY:YY:05:0f:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:06:09:4c:69:76:65:62:6f:78:20:34
Pour les "XX", convertissez votre numéro de serie de la livebox tv (ascii vers hex)
Exemple : IA2022323438110 devient 494132303232333233343338313130
Pour les "YY", on prend les 3 premiers octects de la mac, à convertir en Hex également.
Exemple : 08:87:C6:B2:D1:90 soit 0887C6 devient 303838374336
Cet exemple, donnerait : '125,00:00:0d:e9:24:04:06:30:38:38:37:43:36:05:0f:49:41:32:30:32:32:33:32:33:34:33:38:31:31:30:06:09:4c:69:76:65:62:6f:78:20:34'
Infos copiées du tuto openwrt. ;)
Merci Richard, ces infos vont me servir dans quelques jours le temps que le matos arrive. Concernant les boitier TV, il ne fonctionne qu'en filaire du coup, et derriere un switch adminstrable? En wifi il faut aussi des bornes compatble avec les Vlans?
-
Pour moi c'est du filaire, le décodeur étant connecté sur le routeur OPNsense. Après certains y sont arrivés en wifi si tu remontes quelques pages en arrière.
Quelqu'un sait si on peut ajouter un second décodeur TV ou s'il y a quelque chose à configurer ?
-
Quelqu'un sait si on peut ajouter un second décodeur TV ou s'il y a quelque chose à configurer ?
Rien a configurer, c'est plug&play pour le second, enfin, si tu a la place dans ta range DHCP :)
-
Pour moi c'est du filaire, le décodeur étant connecté sur le routeur OPNsense. Après certains y sont arrivés en wifi si tu remontes quelques pages en arrière.
Quelqu'un sait si on peut ajouter un second décodeur TV ou s'il y a quelque chose à configurer ?
Merci je viens de lire, je pense qu'il faut du matos wifi qui laisse passer les Vlans, mon vieux archer C1200 ne va pas tout comprendre. :) Bon ya plus qu'a acheter le switch POE et une borne ubiquiti pour que ça marche.
-
Merci je viens de lire, je pense qu'il faut du matos wifi qui laisse passer les Vlans, mon vieux archer C1200 ne va pas tout comprendre. :) Bon ya plus qu'a acheter le switch POE et une borne ubiquiti pour que ça marche.
Alors ... il faut que ta borne wifi support le WPA, WPS, je sais plus, le truc ou tu appuie sur un bouton, et sa connecte en wifi, je n'ai pas connaisance d'alternvative pour les décodeurs orange
-
WPS c'est quand tu appuis sur le bouton pour l'inclusion au réseau ;). WPA c'est l'algo de la clé.
Si le WPS suffit ca pourrait le faire, mais il y a besoins des Vlans aussi quand même non? ou juste du coup les options du DHCP d'Opnsense suffisent.
-
WPS c'est quand tu appuis sur le bouton pour l'inclusion au réseau ;). WPA c'est l'algo de la clé.
Si le WPS suffit ca pourrait le faire, mais il y a besoins des Vlans aussi quand même non? ou juste du coup les options du DHCP d'Opnsense suffisent.
WPS oui, pour les VLan, il faut que tu fassent un SSID directement dans ton VLan, et si ton ap supporte le IGMP Snooping, personnelement, j'ai abandoné le wifi, et les deux décodeurs sont en Ethernet
-
WPS oui, pour les VLan, il faut que tu fassent un SSID directement dans ton VLan, et si ton ap supporte le IGMP Snooping, personnelement, j'ai abandoné le wifi, et les deux décodeurs sont en Ethernet
Pour l'igmp snooping je pense qu'il ne le supporte pas. A terme ils seront connecté en filaire mais la maison est en construction pour l'instant, la je suis en loc. ::)
EDIT: apparement si
IGMP Proxy
IGMP Snooping
Bridge
Tag VLAN
-
Ouaip, plus utilisé
Je n'ai jamais réussi à faire fonctionner la TV sur un lan en addressage 10.0.x.x personnelement
Aucun souci pour ma part. Tout mon réseau est en 10.0.x.x , dont le décodeur TV 4 Orange, aucun souci depuis plus de 5 ans.
-
Rien a configurer, c'est plug&play pour le second, enfin, si tu a la place dans ta range DHCP :)
Merci pour l'info.
Pour la téléphonie j'imagine que c'est plus compliqué même si on a déjà un adaptateur Linksys ?
Je me sers quasiment plus du fixe, mais ça peut dépanner si le mobile est sous silencieux ou si les enfants ont besoin d'appeler en cas d'urgence.
Ce sera une ligne OVH au pire.
-
Pour la téléphonie j'imagine que c'est plus compliqué même si on a déjà un adaptateur Linksys ?
Je me sers quasiment plus du fixe, mais ça peut dépanner si le mobile est sous silencieux ou si les enfants ont besoin d'appeler en cas d'urgence.
Ce sera une ligne OVH au pire.
Rah pour la telephone, c'est livebox derriere le routeur oubligatoirement :( il y a des tutos a droite a gauche :)
-
Pour l'igmp snooping je pense qu'il ne le supporte pas. A terme ils seront connecté en filaire mais la maison est en construction pour l'instant, la je suis en loc. ::)
EDIT: apparement si
IGMP Proxy
IGMP Snooping
Bridge
Tag VLAN
Bon j'ai regardé, ca ne fonctionne que quand c'est en mode routeur et non en mode AP comme je l'utilise actuellement.
Dans le tuto du début sur le schema il utilise un port dedié du routeur pour le decodeur, du coup si on a plusieurs decodeurs on remonte ça vers un switch avec le VLAN configuré sur les ports c'est ca?
-
Bonjour !
J'utilise actuellement un routeur Asus flashé avec DDWRT, j'aimerais passer à quelque chose de plus fiable et plus "capable" (abo 5Gb qui arrive)
De ce que j'ai lu, le mieux pour l'ONT c'est de partir sur un GPON LXT-010H-D LEOX (quel prix par contre?)
Pour le minipc, y'a une référence "incontournable" pour profiter également du 5Gb wan et du 2.5gb sur mon lan, et assez "plug and play" avec OPNSense ? Je suis un peu perdu dans le choix du hardware !
Merci !
-
Bonjour,
Avec le LEOX, vous ne seriez pas limité à 2.5 Gbps ? Je ne crois pas en avoir vu pour du 10 Gbps actuellement.
Pour le miniPC, il y a des références sur ce forum.
-
Bonjour !
J'utilise actuellement un routeur Asus flashé avec DDWRT, j'aimerais passer à quelque chose de plus fiable et plus "capable" (abo 5Gb qui arrive)
De ce que j'ai lu, le mieux pour l'ONT c'est de partir sur un GPON LXT-010H-D LEOX (quel prix par contre?)
Pour le minipc, y'a une référence "incontournable" pour profiter également du 5Gb wan et du 2.5gb sur mon lan, et assez "plug and play" avec OPNSense ? Je suis un peu perdu dans le choix du hardware !
Merci !
Hello, tu es sur les nouvelles offres en 5gb down et 1gig up ? si c'est ton cas, le Leox ne marchera PAS pour toi, il te faut un ONT SFP+ XGS-Pon chez FS.com, qui est au prix de 251€ TTC ... aie, sa fait mal a la facture, ajoute à ceci un mini pc avec des ports SFP+, et "le tour est joué"
Bonne chance
ps: sa coute de plus en plus cher de la replacer cet livebox, je me demande bien comment orange fait pour rentabiliser son hardware :o
-
AH !
Bah je vais rester avec la Livebox 7, si je dois prendre un ONT à 250€ et un mini PC avec SFP+/10Gb et EN PLUS un AP en 6E, j'vais arriver à 1K l'install (oui offre 5down 1up)
-
AH !
Bah je vais rester avec la Livebox 7, si je dois prendre un ONT à 250€ et un mini PC avec SFP+/10Gb et EN PLUS un AP en 6E, j'vais arriver à 1K l'install (oui offre 5down 1up)
Effectivement :)
Personnelement, je partierai plus sur la route d'un optiplex pas trop vieux d'occaz, avec une carte SFP+ PCIE, et un switch 10G + ap Wifi6E
Mais oui, on se retrouve vite a 1K€ l'install, d'ou ma remarque sur la renta du matos orange :o
-
Bonjour,
Je ne sais vraiment pas quel est mon problème. Est-ce que quelqu'un peut me suggérer de nouvelles idées sur la façon dont j'ai pu mal configurer opnsense ou le module GPON MA5671A ?
J'ai des difficultés avec les basses vitesses. Avec opnsense je peux obtenir ipv4 et ipv6 via dhcp. Je suis connecté à un module GPON MA5671A via une carte réseau BCM57810S. Je teste actuellement avec une VM d'opnsense, mais j'ai obtenu le même résultat avec pfsense bare metal, donc je pense que la VM n'est pas le problème. J'ai également testé avec un Mikrotik CRS309 bridgé à opnsense et pfsense sur un lien 10G. Il se connecte avec DHCP et DHCP6 sans problème, mais toujours les mêmes vitesses extrêmement lentes.
(https://imgpile.com/images/t7ypnM.jpg)
J'ai chargé le patch if_bxe.ko dans opnsense et cela donne ceci :
bxe1: <QLogic NetXtreme II BCM57810 10GbE [BELL BYPASS] (B0) BXE v:1.7> mem 0x7010800000-0x7010ffffff,0x7010000000-0x70107fffff,0x7012000000-0x701200ffff irq 17 at device 0.1 on pci2
bxe1: PCI BAR0 [10] memory allocated: 0x7010800000-0x7010ffffff (8388608) -> 0xfffffe0090c00000
bxe1: PCI BAR2 [18] memory allocated: 0x7010000000-0x70107fffff (8388608) -> 0xfffffe0091400000
bxe1: PCI BAR4 [20] memory allocated: 0x7012000000-0x701200ffff (65536) -> 0xfffffe008591a000
bxe1: Found 2500Base-X media.
bxe1: IFMEDIA flags : 20
bxe1: Using defaults for TSO: 65518/35/2048
bxe1: MSI vectors Requested 1 and Allocated 1
bxe0: ERROR: Changing VLAN_HWTAGGING is not supported!
bxe0: ERROR: Changing VLAN_HWFILTER is not supported!
bxe0: ERROR: Changing VLAN_HWCSUM is not supported!
bxe1: ERROR: Changing VLAN_HWTAGGING is not supported!
bxe1: ERROR: Changing VLAN_HWFILTER is not supported!
bxe1: ERROR: Changing VLAN_HWCSUM is not supported!
vlan0: changing name to 'bxe1_vlan832'
bxe1: NIC Link is Up, 2500 Mbps full duplex, Flow control: ON - receive & transmit
Dans Opnsense, j'ai défini l'adresse MAC pour bxe1.832 et bxe1 à l'adresse MAC de ma Livebox5. Pourtant, je vois toujours ce message dans dmesg. bxe1 : Adresse Ethernet : 98:b7:85:01:XX:XX Est-ce que cela pourrait être le problème qui cause les vitesses lentes ?
DHCP4dhcp-class-identifier "sagem", user-class "+FSVDSL_livebox.Internet.softathome.Livebox5", option-90 00:00:00:00:00:00:00:00:00:00:00:1a:XX, dhcp-client-identifier 01:E4:75:DC:LI:VE:BO:X5
DHCP6ia-pd 0, raw-option 6 00:0b:00:11:00:17:00:18, raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:35, raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d, raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:XX
root@SFP:~# onu lanpsg 0
errorcode=0 pport=0 mode=15 enable=1 link_status=5 phy_duplex=1
root@SFP:~# onu ploamsg
errorcode=0 curr_state=5 previous_state=4 elapsed_msec=4294734768
-
[...]
J'ai chargé le patch if_bxe.ko dans opnsense et cela donne ceci :
bxe1: <QLogic NetXtreme II BCM57810 10GbE [BELL BYPASS] (B0) BXE v:1.7> mem 0x7010800000-0x7010ffffff,0x7010000000-0x70107fffff,0x7012000000-0x701200ffff irq 17 at device 0.1 on pci2
bxe1: PCI BAR0 [10] memory allocated: 0x7010800000-0x7010ffffff (8388608) -> 0xfffffe0090c00000
bxe1: PCI BAR2 [18] memory allocated: 0x7010000000-0x70107fffff (8388608) -> 0xfffffe0091400000
bxe1: PCI BAR4 [20] memory allocated: 0x7012000000-0x701200ffff (65536) -> 0xfffffe008591a000
bxe1: Found 2500Base-X media.
bxe1: IFMEDIA flags : 20
bxe1: Using defaults for TSO: 65518/35/2048
bxe1: MSI vectors Requested 1 and Allocated 1
bxe0: ERROR: Changing VLAN_HWTAGGING is not supported!
bxe0: ERROR: Changing VLAN_HWFILTER is not supported!
bxe0: ERROR: Changing VLAN_HWCSUM is not supported!
bxe1: ERROR: Changing VLAN_HWTAGGING is not supported!
bxe1: ERROR: Changing VLAN_HWFILTER is not supported!
bxe1: ERROR: Changing VLAN_HWCSUM is not supported!
vlan0: changing name to 'bxe1_vlan832'
bxe1: NIC Link is Up, 2500 Mbps full duplex, Flow control: ON - receive & transmit
C'est normal, j'ai le même comportement :)
Dans Opnsense, j'ai défini l'adresse MAC pour bxe1.832 et bxe1 à l'adresse MAC de ma Livebox5. Pourtant, je vois toujours ce message dans dmesg. bxe1 : Adresse Ethernet : 98:b7:85:01:XX:XX Est-ce que cela pourrait être le problème qui cause les vitesses lentes ?
DHCP4dhcp-class-identifier "sagem", user-class "FSVDSL_livebox.Internet.softathome.Livebox5", option-90 00:00:00:00:00:00:00:00:00:00:00:1a:XX, dhcp-client-identifier 01:E4:75:DC:LI:VE:BO:X5
DHCP6ia-pd 0, raw-option 6 00:0b:00:11:00:17:00:18, raw-option 15 00:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:35, raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d, raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1a:XX
root@SFP:~# onu lanpsg 0
errorcode=0 pport=0 mode=15 enable=1 link_status=5 phy_duplex=1
root@SFP:~# onu ploamsg
errorcode=0 curr_state=5 previous_state=4 elapsed_msec=4294734768
Hmmm, tout a l'air bon, sa sens un problème de QOS quelque part :o
-
C'est normal, j'ai le même comportement :)
Hmmm, tout a l'air bon, sa sens un problème de QOS quelque part :o
Merci pour votre suggestion. La qualité de service semble être un candidat probable. Je comprends que la priorité 6 du VLAN est nécessaire, mais si tout le trafic passe par là, ce sera lent.
Dans opnsense, j'ai 832 VLAN à la priorité 0. Pour WAN dans DHCP, j'ai "Override MTU", VLAN priorité 6 et "options modifiers = vlan-pcp 6" Dans DHCP6, j'ai VLAN priorité 6.
Y a-t-il un autre endroit où vérifier la qualité de service ?
En regardant dans gtop, j'ai trouvé des instances régulières de "REASON_FWD_UNKNOWN_MC (25)". Pour l'instant, j'usurpe l'adresse mac du modem de mon FAI dans opnsense. Est-ce que je devrais plutôt l'usurper dans le module ?
Merci
-
Merci pour votre suggestion. La qualité de service semble être un candidat probable. Je comprends que la priorité 6 du VLAN est nécessaire, mais si tout le trafic passe par là, ce sera lent.
Dans opnsense, j'ai 832 VLAN à la priorité 0. Pour WAN dans DHCP, j'ai "Override MTU", VLAN priorité 6 et "options modifiers = vlan-pcp 6" Dans DHCP6, j'ai VLAN priorité 6.
Y a-t-il un autre endroit où vérifier la qualité de service ?
Il faut que t'ai ton vlan en prio 0, et " Use VLAN priority " a 6 dans le Advanced de DHCP Client configuration, pareil pour l'IPV6 ;)
-
[...]
Hmmm, tout a l'air bon, sa sens un problème de QOS quelque part :o
c'est sûr. j'avais les mêmes débits quand le marquage était à 6 pour tout le trafic.
-
Hello, j'essaye de configurer mon routeur mais pour l'instant c'est un echec.
Le leox devant ma livebox fonctionne.
à cette étape: https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html#configuring-the-wan-interface
on configure bien l'interface WAN ou encore le Vlan orange 832?
voila mon vlan:
-
l'interface WAN n'a pas besoin de porter d'adresse, sauf si tu veux accéder à l'ONT. Elle doit juste être activée.
l'interface VLAN sur cette interface WAN (l'interface sur ta capture d'écran) doit être activée, configurée en DHCPv4 et DHCPv6, sachant que la configuration DHCPv4+6 et DUID doit être faite avant.
-
l'interface WAN n'a pas besoin de porter d'adresse, sauf si tu veux accéder à l'ONT. Elle doit juste être activée.
l'interface VLAN sur cette interface WAN (l'interface sur ta capture d'écran) doit être activée, configurée en DHCPv4 et DHCPv6, sachant que la configuration DHCPv4+6 et DUID doit être faite avant.
Merci Jeannot, effectivement je n'était pas sûr de devoir configurer tout cela au niveau du Vlan, j'ai bien une IPV4 maintenant et j'ai du traffic, par contre les debits ne sont pas au RDV.
-
toute la subtilité du "jusqu'à".
tu as la conf en ppoe ou dhcp (à priori dhcp vu la latence)? le marquage cos6 est bien limité au dhcp (normalement oui vu tes débits, c'est plutôt autour de 150Mbps)?
niveau CPU ça passe sur ton firewall?
perso j'ai toujours plus de débit sur les tests en ipv6 que ipv4.
-
toute la subtilité du "jusqu'à".
tu as la conf en ppoe ou dhcp (à priori oui vu la latence)? le marquage cos6 est bien limité au dhcp (normalement oui vu tes débits, c'est plutôt autour de 150Mbps)?
niveau CPU ça passe sur ton firewall?
perso j'ai toujours plus de débit sur les tests en ipv6 que ipv4.
Oula je ne suis pas encore assez calé pour tout comprendre :D
niveau CPU je suis a 0% en idle et effectivement je monte a 100% brievement lors des speedtest, c'est curieux car la machine est un fustro S920 peut tenir des debits bien superieurs dans les tests que j'ai vu. Cela pourrait peu etre venir de ma carte reseau Realtek.
Pour l'instant je n'ai pas d'IPV6, je cherche pourquoi.. ;)
EDIT:
Dans le tuto pour le DHCPv6 client configuration il y a deux options que je n'ai pas sur ma version d'Opnsense:
Directly send SOLICIT
Prevent release.
est ce que ça pourrait venir de là?
EDIT2: Finalement le CPU ne fait pas de gros pics, je suis max a 70% lors des speeds tests.
Je referais des tests une fois la nouvelle maison livrée, la c'est trop le bazarre pour tester sans faire tomber toute l'infra de la maison (pas de switch pres de l'arrivé fibre, pas de baie de brassage ect..)
-
côté charge:
ca n'est à priori pas la charge CPU, ça reste raisonnable.
sinon tester à un autre moment, il n'est pas impossible qu'il y ait des gros consommateurs sur ton arbre gpon.
côté ipv6:
je n'ai pas les deux options non plus (directly send sollicit et prevent release) et ça passe. l'option direct release a bougé sur la page "interfaces/settings", au même endroit que le DUID. https://github.com/opnsense/core/issues/5572 (https://github.com/opnsense/core/issues/5572)
la seule option qui change sur ma configuration est l'option "only request an ipv6 prefix" qui n'est pas cochée.
peut être vérifier que le DUID correspond bien à la mac et à la mac dans les options DHCP? Sur ma configuration j'ai fixé la mac sur l'interface qui porte le vlan832 pour ne pas avoir de soucis en cas de changement de matériel.
-
côté charge:
ca n'est à priori pas la charge CPU, ça reste raisonnable.
sinon tester à un autre moment, il n'est pas impossible qu'il y ait des gros consommateurs sur ton arbre gpon.
côté ipv6:
je n'ai pas les deux options non plus (directly send sollicit et prevent release) et ça passe. l'option direct release a bougé sur la page "interfaces/settings", au même endroit que le DUID. https://github.com/opnsense/core/issues/5572 (https://github.com/opnsense/core/issues/5572)
la seule option qui change sur ma configuration est l'option "only request an ipv6 prefix" qui n'est pas cochée.
peut être vérifier que le DUID correspond bien à la mac et à la mac dans les options DHCP? Sur ma configuration j'ai fixé la mac sur l'interface qui porte le vlan832 pour ne pas avoir de soucis en cas de changement de matériel.
Hello, tout d'abord merci pour ton aide.
J'ai commencé par flashé le firmware pour ne plus avoir les freeze quand le Leox est devant la box. (merci Arnaudf)
Ensuite j'ai remis mon routeur Opnsense pour faire quelque tests:
Si je decoche le "only request an ipv6 prefix" je n'ai plus que du V4 dans dashboard interface
Si je le remet j'ai à nouveau une IPV4 et un 'debut' d'IPV6
Pour le duid il correspond bien à la mac. J'ai fais toute les configurations sur le VLan 832. La je ne vois pas trop ce qui cloche.
Pour les debits c'est curieux la livebox syncro bien à 1900Mbits/s, ca pourrait venir du Leox? Comment je peux tester ça?
C'est curieux j'ai aussi plein d'erreur sur le VLAN832
-
tu peux regarder les logs dhcp?
-
tu peux regarder les logs dhcp?
Il semblerait que j'ai des problèmes dans les options:
-
il doit y avoir un caractère non conforme dans les chaines de caractère pour les options.
tu peux aussi faire une capture pour voir si des options sont bien envoyées par le client dhcp (udp 67+68). si c'est effectivement le cas, le client n'envoi aucune option.
-
Je me réponds à moi-même pour ceux qui tomberaient sur ce topic.
Le tuto en 1ère page est fonctionnel pour internet, pas pour la TV.
Oui J'ai mis à jour le tuto internet, pas le tuto TV par manque de temps, il faut que je me plonge dedans
Pour moi c'est du filaire, le décodeur étant connecté sur le routeur OPNsense. Après certains y sont arrivés en wifi si tu remontes quelques pages en arrière.
Quelqu'un sait si on peut ajouter un second décodeur TV ou s'il y a quelque chose à configurer ?
Oui les deux fonctionnent sans problème
-
il doit y avoir un caractère non conforme dans les chaines de caractère pour les options.
tu peux aussi faire une capture pour voir si des options sont bien envoyées par le client dhcp (udp 67+68). si c'est effectivement le cas, le client n'envoi aucune option.
C'est vraiment curieux j'ai l'impression que les options sont bien toute là, si je m'etais foiré dans l'option 11 ca ne marcherai pas pour l'option 90 du dhcpV4 non?
-
dans la trame Discover (ou Request, je ne suis plus bien sûr), tu dois avoir toutes les options configurées, y compris la 90.
si c'est absent, c'est que le client DHCP ne prend pas ta configuration en compte. De ce que j'ai pu voir, c'est souvent une histoire de syntaxe pour déclarer les options (,/;) ou ("/“).
capture d'écran honteusement pompée pour l'occasion, juste pour montrer des options.
(https://www.golinuxcloud.com/wp-content/uploads/wireshark-462.jpg)
-
l'option 90 c'est pour le dhcp v4, tu penses qu'il me manque quelque chose dans le V4 qui ferait que je n'ai pas d'IP V6?
Pour le dhcp V4 j'ai bien toutes les options il me semble:
EDIT: apres avoir tout refais sans amélioration j'ai redemarré le routeur et j'ai bien une connexion IPV6 fonctionnelle!! Merci Jeannot pour l'aide.
-
bien joué ;D
-
Curieusement les debits ont augmenté legerement (1200mb/s). J'ai eu quelques soucis avec le port PCIE du Fustro qui restait bloqué en 1X par defaut.
Apres mis à jour du firmware et le flash d'un setting il est en 2x, je n'atteinds pas encore le debit maximal mais je pense que c'est les drivers Realtek qui sont pas terrible, j'aurai du prendre une carte avec un chip intel. :o
-
De mon coté je n'ai pas besoin de faire la config interfaces > settings et set le DUID. J'ai bien de l'IPV6 sur mon network LAN.
A quoi sert la config qui utilise le DUID ?
-
C'est quoi la durée de tes leases ipv4 et Ipv6 côté Wan ?
-
N'ayant pas compris la question, je te met une capture de mes config.
Mon WAN n'a pas d'IPV6 seul mon réseau interne en a. Est-ce la différence avec la config via DUID ?
-
N'ayant pas compris la question, je te met une capture de mes config.
Mon WAN n'a pas d'IPV6 seul mon réseau interne en a. Est-ce la différence avec la config via DUID ?
c'est tout à fait nomal.
le DUID c'est l'identifiant qui se retrouve dans la requête qui selon les règles Orange doit matcher la mac wan (modulo le préfixe).
-
c'est tout à fait nomal.
le DUID c'est l'identifiant qui se retrouve dans la requête qui selon les règles Orange doit matcher la mac wan (modulo le préfixe).
Ok donc à partir du moment ou je config la partie DUID, le WAN aura aussi une IPV6 d'affecté ?
-
erratum : non, j'ai lu trop vite. (raison à nonobzh)
Pour avoir une IP 'externe', il faut créer une interface virtuelle qui a une délégation de préfixe. (et ce que j'ai fait en plus ::) )
-
Ok donc à partir du moment ou je config la partie DUID, le WAN aura aussi une IPV6 d'affecté ?
Non, tu n'aura pas d'IPv6 sur ton interface WAN (autre que la link-local (fe80))
L'interface WAN reçoit juste la délégation de préfixe (utilisé sur tes interfaces LAN)
-
Non, tu n'aura pas d'IPv6 sur ton interface WAN (autre que la link-local (fe80))
L'interface WAN reçoit juste la délégation de préfixe (utilisé sur tes interfaces LAN)
Dans ce cas je n'ai jamais eu besoin d'un DUID pour avoir une délégation fonctionnelle. Je n'ai jamais, non plus, eu besoin d'indiquer une passerelle IPV6.
Mes lease peuvent être à l'infini en fonction de se que je config en lease static.
Tu auras 5-6 postes en arrière la configuration IPV6 que j'utilise.
Du coup j'ai du mal à saisir vos configuration.
-
Hello,
Bon j'ai essayé de faire fonctionner la TV mais c'est un Echec. J'ai bien un lease sur le TVLAN mais le décodeur me dit que la box n'est pas compatible. :o
il y a une manip à faire sur le decodeur pour avoir un peu plus d'info?
Pouvez vous me dire si ce schema est realisable techniquement?
Sur le routeur OPnsense j'ai une carte 2x2.5G + 1x1G
-
Pour les flux TV, le vlan 840 Orange doit arriver jusqu'à ton routeur et s'arrêter là. Sur le routeur doit tourner un proxy igmp (avec en upstream le vlan 840 et downstream l'interface où est connectée le décodeur TV.
Le décodeur TV doit être sur lan classique non tagué avec les bonnes options DHCP pour pouvoir démarrer (DNS d'Orange et l'option 125).
S'il y a un ou des switchs entre le routeur et le décodeur TV, ils doivent supporter l'IGMP Snooping pour éviter tout souci avec le flux TV multicast.
-
Pour les flux TV, le vlan 840 Orange doit arriver jusqu'à ton routeur et s'arrêter là. Sur le routeur doit tourner un proxy igmp (avec en upstream le vlan 840 et downstream l'interface où est connectée le décodeur TV.
Le décodeur TV doit être sur lan classique non tagué avec les bonnes options DHCP pour pouvoir démarrer (DNS d'Orange et l'option 125).
S'il y a un ou des switchs entre le routeur et le décodeur TV, ils doivent supporter l'IGMP Snooping pour éviter tout souci avec le flux TV multicast.
Ah d'accord, dans ce cas je peux laisser tomber cette histoire de TVLan et configurer le proxy IGMP pour downstream dans le LAN normal, le switch est un Zyxel GS1900 il supporte bien l'IGMP snooping. Je m'embrouille un peu dans la configuration des VLANs et des Interfaces, notament le fait d'avoir un DHCP dans les VLans ou dans les interfaces.
Il ya pas moyen de simplifier un peu l'infra du tuto?
-
Éventuellement oui, il n'est pas nécessaire de mettre le décodeur TV dans un vlan dédié comme l'a fait le posteur en page 1 (c'est une architecture qu'à souhaiter faire le posteur je pense).
Le décodeur TV peut être dans le même vlan que ton pc (vlan 10 sur ton schéma). Cela peut être même pratique si tu souhaites lire du contenu depuis le décodeur TV depuis un NAS ou autre en DLNA. S'ils sont sur un vlan différent, ça ne sera pas possible de faire du DLNA par exemple.
-
Oui, surtout je ne comprenais pas pourquoi avec la livebox ils sont bien sur le même LAN.
Je vais essaye de simplifier et d'enlever le Vlan 10 et le VLAN TV du coup. ;) Merci!
-
En l'espèce, là le message d'erreur à propos de la box non compatible découle soit de l'option DHCP 125 non envoyée par OPNsense au décodeur, soit un mauvais contenu de cette option.
Le VLAN dédié peut être une alternative intéressante quand on a un switch où IGMP snooping est présent mais implémenté par des manches (cas de mes switch Mikrotik ou l'activation d'IGMP Snooping bloque les Router Advertisement IPv6 dans certaines configurations...). Dans ce cas on peut monter un VLAN par décodeur (oui c'est lourd) et désactiver IGMP Snooping.
-
Hello,
Petite news de mon probleme de debit qui plafonnait un peu au dessus du giga avec mon Fustro S920.
J'ai acheté une autre carte 2X2.5g mais avec une puce intel au lieu de realtek, résultat j'atteint le même debit que la livebox à savoir 1600mb/s. voir mème 2G sur fat.com :D
Je me suis cassé les dents sur les décodeurs, impossible de le faire fonctionner.
Ni dans le LAN normal en passant par le switch manageable, ni en passant par un reseau TVLAN sur une interface dédié du routeur.
Tout ce qu'il y a à faire sur le VLAN838 n'est pas à faire pour le VLAN840?
J'ai bien mon decodeur qui prend une IP Du range 192.168.50 mais j'ai toujours le message comme quoi la box n'est pas compatible.
Si vous avez des astuces pour debugger?
-
Encore une fois, box non compatible = le routeur n'envoie pas la bonne option 125 au décodeur (option qui doit entre autre contenir le numéro de série de la livebox et son adresse Mac). Rien à voir avec les VLANs (et d'ailleurs le VLAN 838 ne sert plus à rien).
Voir: https://lafibre.info/remplacer-livebox/reverse-engineering-decodeur-uhd-dtiw385-wip/msg748896/#msg748896
-
Encore une fois, box non compatible = le routeur n'envoie pas la bonne option 125 au décodeur (option qui doit entre autre contenir le numéro de série de la livebox et son adresse Mac). Rien à voir avec les VLANs (et d'ailleurs le VLAN 838 ne sert plus à rien).
Voir: https://lafibre.info/remplacer-livebox/reverse-engineering-decodeur-uhd-dtiw385-wip/msg748896/#msg748896
Merci @zoc,
en fait ce post m'as induit en erreur:
Pour les "XX", convertissez votre numéro de serie de la livebox tv (ascii vers hex)
Exemple : IA2022323438110 devient 494132303232333233343338313130
Pour les "YY", on prend les 3 premiers octects de la mac, à convertir en Hex également.
Exemple : 08:87:C6:B2:D1:90 soit 0887C6 devient 303838374336
Cet exemple, donnerait : '125,00:00:0d:e9:24:04:06:30:38:38:37:43:36:05:0f:49:41:32:30:32:32:33:32:33:34:33:38:31:31:30:06:09:4c:69:76:65:62:6f:78:20:34'
Infos copiées du tuto openwrt. ;)
Avec les infos de la livebox et non du decodeur ca fonctionne partiellement, le decodeur demarre j'ai le replay mais pas de flux TV. Il doit y avoir un couac a niveau du proxy igmp.
Edit:
la seul difference que je vois est que j'ai des icones en plus sur les regles de firewalling: l'éclair et la fleche mais c'est surrement du à la version:
-
Bon je n'ai pas trouvé d'erreur, j'ai coché " allow options" dans la regle de firewall sans succés.
Voici ma config igmp:
##------------------------------------------------------
## Enable Quickleave mode (Sends Leave instantly)
##------------------------------------------------------
quickleave
phyint vlan0.1.840 upstream ratelimit 0 threshold 1
altnet 193.0.0.0/8
altnet 81.0.0.0/8
altnet 172.0.0.0/8
altnet 80.0.0.0/8
phyint igc0 downstream ratelimit 0 threshold 1
altnet 192.168.50.0/24
phyint re0 disabled
phyint igc1 disabled
phyint vlan0.1.832 disabled
-
Hello!
J'ai fini par trouver, il faut cocher la case allow option dans la regle de firewall pour le TVLAN et le Vlan840, dans l'une des deux c'est caché, il faut develloper la conf. Il faudrait vraiment mettre à jour le topic en première page. Il manque quelques infos pour les plus novices afin d'avoir tout qui marche du premier coup. :D
Bon maintenant je vais essayer de faire marcher le tout dans le lan en me passant du resaux TVLAN 8)
-
Bonjour a tous,
Qui est passé en opnsense 24.1 et à validé que tout marche bien 8) ?
Je flippe un peu de cliquer sur update.
Merci aux premiers courageux de faire un retour.
-
fait à l'instant. 24.1_1-amd64. ras, tout est remonté. (mode yolo à distance)
-
Bonsoir à tous,
Je suis en train de configurer un ordinateur avec OPNSense pour remplacer la Livebox.
comme expliqué en détail dans cet article, certains trafics sortants doivent être marqués avec la priorité VLAN COS6 :
https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg984140/#msg984140 (https://lafibre.info/remplacer-livebox/durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire/msg984140/#msg984140)
- pour DHCPv4, DHCPv6, cela se fait facilement dans la configuration DHCP de l'interface WAN.
- pour ICMPv6 (NS, NA, RS), des règles de firewall peuvent être ajoutées
cependant, je m'arrache les cheveux car je ne trouve pas de moyen évident de définir la priorité des paquets ARP sortants.
la recherche sur ce forum ainsi que sur Google ne m'a donné aucun résultat non plus.
Est-ce quelqu'un peut m'indiquer un paramètre/hack/workaround qui me manque manifestement pour résoudre ce problème ?
merci d'avance
-
Suis le tuto en première page. Ça marche pour tout le monde. Pas besoin d'aller fouiller sans d'autres topics.
-
à priori il n'y a pas besoin de changer le marquage pour les trames ARP vu la quantité qui se ballade. Selon le ttl du cache ARP côté BNG (plutôt long), ça fait une trame toutes les X minutes. j'ai été effrayé de voir que sur du juniper c'est 4h par défaut :o
le prérequis cos6 n'est que pour les échanges DHCP. Si ça ne fonctionne pas, c'est autre chose. Il y a eu pas mal d'échanges sur les différents problèmes de configuration, que ce soit le format des options à reboot+remettre le fichier de conf.
-
fait à l'instant. 24.1_1-amd64. ras, tout est remonté. (mode yolo à distance)
paeil je viens d'upgrader aussi en 24.1, j'etais en 23.1, j'ai fait 23.1 -> 23.7 -> 24.1 sans aucun probleme.
Là ou pour passer de la 22 a la 23.1 il avait fallu restaurer et plus ou moins refaire la configuration (mon WAN etait en OPT1 historiquement)
-
Hello,
Je viens de me lancer à mon tour ;) et ca fonctionne presque ;D
Mon install & abo
Sosh à env.30€ (limité à 300M up/down)
Livebox 5 (donc ONT intégré)
Solution pour le remplacement :
ONT Huawei et un appliance CP 3600 recyclé avec une install de OPNSense.
J'ai pu saisir/remplacer le SN de l'ONT de ma Livebox dans mon ONT Huawei et depuis je passe bien en O5 et la led PON passe en fixe. Mon OPNSense a été paramétrée en suivant le tuto de la 1ere page : https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html
(j'ai bien paramétré mes options dhcp client en ipv4 et ipv6. j'ai également récupéré mon id et password fti/ ta ta ta)
J'utilise la mac de l'interface WAN de mon OPNsense.
Pour le moment j'obtiens une IP en 172.16.x.x.
2 questions :
- Si j'ai bien compris, cette IP est dite de parquage. Qu'est ce que ceci signifie ? Ou plutôt où est ce que ça bloque du coup ?
- Je trouve bizarre dans le tuto on n'est pas à associer le vlan 832 à interface WAN, est ce normal ?
Merci par avance pour vos lumières
-
172.16 veut effectivement dire qu'il y a un soucis.
le vlan832 est une interface vlan créée sur ton interface physique WAN qui va à l'ONT. La conf DHCP est à faire sur cette interface vlan.
Est-ce bien le cas?
Et par extension toutes les règles firewall sont associées à cette interface (je l'ai nommée WAN_832) pour le traffic, sauf l'exception du routage du 192.168.4.x (dans mon cas) pour continuer à accéder à l'interface de l'ONT. Ca nécessite de fixer une ip sur l'interface physique, passer en hybrid nat et ajouter une règle pour ne pas faire de NAT vers ce subnet.
-
merci pour ce retour. voici le détail de l'affection de mes interfaces :
igb0 - LAN
igb1 - WAN où est connecté l'ONT
le vlan 832 a été créé et associé à igb1 (il se nommé vlan0.1.832), la partie DHCP a été renseignée en ipv4 et ipv6 (en suivant le tuto de la page 1)
est ce que l'ip de parquage a une signification particulière ? d'après les logs généraux de le GUI, ca semble bloquer sur la partie DHCPv6 :
Voici le log de dhcp6c qui me parait suspect : got an expected reply, sleeping. :-(
-
Le vlan
vlan-pcp 6 correspond probablement à l'option Use VLAN priority
-
le DUID est-il configuré, avec la MAC de la livebox?
-
Mastah merci, la différence avec ta conf est surtout que tu affectes l'adresse mac de ta livebox à ton interface WAN et que tu as créé une 2nd interface (WAN.vlan832) pour internet alors que moi j'avais directement affecté le vlan832 à l'interface WAN.
Jeannot, j'utilise l'adresse mac de mon interface physique WAN (celle de mon appliance et qui se nomme igb1) et que j'ai bien placé sur le DUID (avec le prefixe) et à l'option 90
Je vais essayer en plaçant l'adresse mac de la livebox, je vous tiens au courant
-
Mastah merci, la différence avec ta conf est surtout que tu affectes l'adresse mac de ta livebox à ton interface WAN et que tu as créé une 2nd interface (WAN.vlan832) pour internet alors que moi j'avais directement affecté le vlan832 à l'interface WAN.
Jeannot, j'utilise l'adresse mac de mon interface physique WAN (celle de mon appliance et qui se nomme igb1) et que j'ai bien placé sur le DUID (avec le prefixe) et à l'option 90
Je vais essayer en plaçant l'adresse mac de la livebox, je vous tiens au courant
Alors verdicte ? ^^
-
Bonjour à tous, merci vraiment pour ces resources et ces discussions. L'installation s'est bien passée en suivant la doc "officielle" listée en première page (https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html).
Quand je dis bien passée:
- J'ai une Livebox 7
- J'ai un OPNsense Deciso
- J'ai maintenant bien accès à Internet derrière mon OPNsense, et ce à un débit optimal ;D
Par contre quelque chose me tracasse et me fait penser que quelque chose s'est en fait mal passé, c'est simplement "tombé en marche"... :-\
Sur l'étape "Gateway" il était dit
> Select System ‣ Gateway ‣ Configuration and edit IPv6 gateway to add ‘fe80::ba0:bab’ as IP address
Ce que j'ai fait. Puis au reboot, tout fonctionne comme dit précédemment... mais là je vois dans mes Gateways mon "WAN_DHCP6" configuré comme demandé en "fe80::ba0:bab" à "Offline"... et visiblement mon OPNsense a créé tout seul un WAN_DHCP qui lui est online. (j'ai configuré le DHCP de la livebox pour emettre en 10.0.0.xxx, et la livebox est sur 10.0.0.111)
A quoi cela ressemble chez vous? S'agit-il juste de désactiver le DHCP de la Livebox?
-
Bonjour à tous, merci vraiment pour ces resources et ces discussions. L'installation s'est bien passée en suivant la doc "officielle" listée en première page (https://docs.opnsense.org/manual/how-tos/orange_fr_fttp.html).
[...]
Sur l'étape "Gateway" il était dit
> Select System ‣ Gateway ‣ Configuration and edit IPv6 gateway to add ‘fe80::ba0:bab’ as IP address
Ce que j'ai fait. Puis au reboot, tout fonctionne comme dit précédemment... mais là je vois dans mes Gateways mon "WAN_DHCP6" configuré comme demandé en "fe80::ba0:bab" à "Offline"... et visiblement mon OPNsense a créé tout seul un WAN_DHCP qui lui est online. (j'ai configuré le DHCP de la livebox pour emettre en 10.0.0.xxx, et la livebox est sur 10.0.0.111)
A quoi cela ressemble chez vous? S'agit-il juste de désactiver le DHCP de la Livebox?
Hello, le tutoriel que tu a suivi est pour une connection au réseau orange SANS livebox, vu que tu est derriere ta livebox, il faut que tu mettent l'ipv6 de celle ci ;)
Bonne soirée
-
Hello, le tutoriel que tu a suivi est pour une connection au réseau orange SANS livebox, vu que tu est derriere ta livebox, il faut que tu mettent l'ipv6 de celle ci ;)
Bonne soirée
roh le con!...
Je me suis fait la reflexion quand il s'agissait d'encoder mon user en hex... ::)
Est-ce qu'il y a du coup un tuto ou des bonnes pratiques pour se mettre derrière la livebox en OPNsense?
Edit:
- J'ai laissé le DHCP qui met des IP sans conflit en 10.0.0.xxx
- J'ai mis le OPNSense en IP statique et en DMZ
-
EDIT :
J'ai réussi a trouver un driver voici mes sources :
https://www.dslreports.com/forum/r32230041-Internet-Bypassing-the-HH3K-up-to-2-5Gbps-using-a-BCM57810S-NIC~start=1710
Cependant, maintenant que ça négocie 2.5gbps, le status reste a "no carrier".
Même avec la fibre branchée dans l'ONT, cela ne monte pas côté opnsense...
Bonjour à tous,
Je suis à la recherche du driver pour Freebsd opnsense pour la carte BCM57810S pour gérer du 2.5gbps, je sais qu'ici il y en a qui ont réussi.
J'ai essayé cette méthode et le driver :
https://github.com/Berzerker/google-fiber-2gbps-bypass/blob/main/README.md
mais cela ne fonctionne pas, je n'arrive toujours pas à négocier du 2.5gbps sur le port SFP+, le GPON ONU est bien configuré avec un current_state=5.
Si jamais des personnes ont des infos je suis preneur,
merci!
-
Ce n'est pas la première fois que ça m'arrive alors je me décide à poster...
La TV vient de sauter à nouveau et m'affiche un écran noir et un message en haut à droite : recherche du flux TF1 HD, recherche flux TF1 SD...
Malgré des reboots d'OPNsense, des reboots et même la réinitialisation du décodeur, il a fallu que je remette la LB.
Une piste éventuelle ? Je précise que je n'ai touché à rien...
-
Il faut que je mette à jour le tuto tv. J'ai aucun souci
-
EDIT :
J'ai réussi a trouver un driver voici mes sources :
https://www.dslreports.com/forum/r32230041-Internet-Bypassing-the-HH3K-up-to-2-5Gbps-using-a-BCM57810S-NIC~start=1710
Cependant, maintenant que ça négocie 2.5gbps, le status reste a "no carrier".
Même avec la fibre branchée dans l'ONT, cela ne monte pas côté opnsense...
Bonjour à tous,
Je suis à la recherche du driver pour Freebsd opnsense pour la carte BCM57810S pour gérer du 2.5gbps, je sais qu'ici il y en a qui ont réussi.
J'ai essayé cette méthode et le driver :
https://github.com/Berzerker/google-fiber-2gbps-bypass/blob/main/README.md
mais cela ne fonctionne pas, je n'arrive toujours pas à négocier du 2.5gbps sur le port SFP+, le GPON ONU est bien configuré avec un current_state=5.
Si jamais des personnes ont des infos je suis preneur,
merci!
https://github.com/akhamar/orange-2500mbps-G010SP/blob/master/opnsense_22.X/if_bxe.ko-freebsd13-patched.zip
Je me suis taillé de BSD dans sont ensemble moi. J'ai tout migré en Debian il y a 1semaine. Je pourrais pas être plus satisfait que ça.
Tout fonctionne mieux et j'ai des vrai bonne perf, contrairement a BSD.
Idem vous n'avez pas a saisir la passerelle IPV6 orange par defaut a la main. Orange envoi un RA. C'est juste que opnsense est config a la base comme les pied et bloque le RA.