Auteur Sujet: TUTO - OPNsense remplacer livebox (INTERNET + TV) (Lu 240183 fois)

trap16 · « **Réponse #288 le:** 21 octobre 2018 à 05:36:26 »

Ca a l'air d'etre bon presque partout, cf le screen ci dessous.

Je pense donc que l'ipv6 ne marche pas (la passerelle WAN_DHCP6 n'indique aucune ipv6) ... 1er point a voir.

Pour le 2ieme point j'ai des difficultes avec openvpn, en me connectant a nordvpn (j'ai adapte le tutorial pour pfsense de chez nordvpn), j'ai l'impression que presque tout est bon dans les logs, j'ai bien une ip et une ip virtuelle, mais ca a l'air de coincer au niveau de la passerelle (255.255.255.0

) ca a l'air d'etre confirme avec une erreur dans le system log d'ailleurs :

opnsense: /system_general.php: The command '/sbin/route add -host -'inet' '103.86.99.100' '255.255.255.0'' returned exit code '1', the output was 'route: writing to routing socket: Network is unreachable add host 103.86.99.100: gateway 255.255.255.0 fib 0: Network is unreachable'

Pour info 103.86.99.100 est un des dns de nordvpn , et j'ai l'impression qu'il crois que ma gateway est 255.255.255.0 (qui a plutot l'air d'etre un mask ...)
Quelqu'un a une idee sur le probleme ?

nivek1612 · « **Réponse #289 le:** 21 octobre 2018 à 06:58:53 »

Partagez votre écran de configuration dhcp6c à partir de l’interface graphique, vérifiez vos paramètres

trap16 · « **Réponse #290 le:** 21 octobre 2018 à 08:39:30 »

Voila la configuration (j'ai rajoute celle du LAN pour le track ipv6)

Config generale WAN :
https://nsa39.casimages.com/img/2018/10/21/181021083654479502.png

Config dhcp6 :
https://nsa39.casimages.com/img/2018/10/21/181021083654552102.png

Config LAN :
https://nsa39.casimages.com/img/2018/10/21/181021084200691325.png

Le detail du dhcp6 (send options) :

ia-pd 0,
raw-option 6 00:0b:00:11:00:17:00:18,
raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33,
raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d,
raw-option 11 00:00:00:00:00:00:00:00:00:00:00:1A:09:00:00:05:58:01:03:41:01:0D:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:3C:12:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:sa:lt:03:13:zz:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh:ha:sh

- j'ai conceale la raw-option 11 selon le post https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/ , j'ai double check que j'ai bien le meme nombre de caracteres et ceux non caches correspondent. J'utilise la meme chaine pour l'option 90 du dhcp4 et j'arrive a me logger en ipv4 avec. (ceci dis je n'ai pas essaye le login version courte sur le dhcp6 ...)

- En recheckant le tutorial je ne vois pas de difference autre que l'option 11, le seul point ambigu est la partie sur le "prefix interface", je n'ai pas de "site aggregration identifier" dans mon interface et j'ai un "Prefix Interface Site-Level Aggregation Length" que j'ai mis a 8 (ca me semblais correspondre au "Site-Level Aggregation Length" du tutorial)

Merci

nivek1612 · « **Réponse #291 le:** 21 octobre 2018 à 08:54:07 »

Cela semble bon.

pouvez-vous partager /var/wtc/dhcp6c_wanf.conf
afin que nous puissions vérifier qu'il est correctement construit
Des messages d'erreur dhcp6c dans le journal DHCP?

Si c'est bon, nous devons voir wireshark de la requête dhcp6c.

trap16 · « **Réponse #292 le:** 21 octobre 2018 à 09:22:23 »

root@OPNsense:/var/etc # cat dhcp6c_wan.conf
interface igb1_vlan832 {
send ia-pd 0;
send raw-option 6 00:0b:00:11:00:17:00:18;
send raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
send raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d;
send raw-option 11 xxxxxxxxxxxxxxx
script "/var/etc/dhcp6c_wan_script.sh";
};
id-assoc pd 0 {
prefix-interface igb2 {
sla-id 0;
sla-len 8;
};
};

root@OPNsense:/var/etc # cat dhcp6c_wan_script.sh
#!/bin/sh
if [ -n '' ]; then
/usr/bin/logger -t dhcp6c "dhcp6c $REASON on igb1_vlan832"
fi
case $REASON in
REQUEST|EXIT)
/usr/bin/logger -t dhcp6c "dhcp6c $REASON on igb1_vlan832 - running newipv6"
/usr/local/opnsense/service/configd_ctl.py interface newipv6 igb1_vlan832
;;
*)
;;
esac
root@OPNsense:/var/etc #

(option 11 conceale)
Le "prefix-interface igb2" me fait ticker, igb2 c'est mon inetrface LAN, c'est correct ?
Pour info, je crois que lors de l'install j'ai change manuellement via le webGUI une interface pour changer son igb (les ports n'etais pas "bien" ranges pour mes cables) , je confirme que igb1 c'est pour le wan.

[EDIT] les 30 dernier lignes de log de /var/log/dhcpd.log sur dhcp6c

root@OPNsense:/var/log # cat dhcpd.log | grep dhcp6c | tail -30
Oct 20 05:22:18 OPNsense dhcp6c[38896]: freeing op data at 0x6b85226140
Oct 20 05:24:27 OPNsense dhcp6c[38896]: Sending Solicit
Oct 20 05:24:27 OPNsense dhcp6c[38896]: freeing op data at 0x6b85261080
Oct 20 05:24:27 OPNsense dhcp6c[38896]: freeing op data at 0x6b852682d0
Oct 20 05:24:27 OPNsense dhcp6c[38896]: freeing op data at 0x6b85225030
Oct 20 05:24:27 OPNsense dhcp6c[38896]: freeing op data at 0x6b85226190
Oct 20 05:26:30 OPNsense dhcp6c[38896]: Sending Solicit
Oct 20 05:26:30 OPNsense dhcp6c[38896]: freeing op data at 0x6b85261080
Oct 20 05:26:30 OPNsense dhcp6c[38896]: freeing op data at 0x6b85268330
Oct 20 05:26:30 OPNsense dhcp6c[38896]: freeing op data at 0x6b85225040
Oct 20 05:26:30 OPNsense dhcp6c[38896]: freeing op data at 0x6b85226140
Oct 20 05:28:39 OPNsense dhcp6c[38896]: Sending Solicit
Oct 20 05:28:39 OPNsense dhcp6c[38896]: freeing op data at 0x6b85261080
Oct 20 05:28:39 OPNsense dhcp6c[38896]: freeing op data at 0x6b85268360
Oct 20 05:28:39 OPNsense dhcp6c[38896]: freeing op data at 0x6b85225030
Oct 20 05:28:39 OPNsense dhcp6c[38896]: freeing op data at 0x6b85226190
Oct 20 05:30:15 OPNsense dhcp6c[38896]: restarting
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 45: Got raw option: 6 00:0b:00:11:00:17:00:18
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 45: Raw option 6 length 8 stored at 0x6b852682a0 with data at 0x6b85261088
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 46: Got raw option: 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 46: Raw option 15 length 45 stored at 0x6b85268360 with data at 0x6b85268390
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 47: Got raw option: 16 00:00:04:0e:00:05:73:61:67:65:6d
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 47: Raw option 16 length 11 stored at 0x6b85268150 with data at 0x6b85225030
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 48: Got raw option: 11 xxxxxxxxxxxxxxxxx
Oct 20 05:30:15 OPNsense dhcp6c[38896]: /var/etc/dhcp6c_wan.conf 48: Raw option 11 length 70 stored at 0x6b85268060 with data at 0x6b85226050
Oct 20 05:30:15 OPNsense dhcp6c[38896]: freeing op data at 0x6b85261048
Oct 20 05:30:15 OPNsense dhcp6c[38896]: freeing op data at 0x6b85268450
Oct 20 05:30:15 OPNsense dhcp6c[38896]: freeing op data at 0x6b85225050
Oct 20 05:30:15 OPNsense dhcp6c[38896]: freeing op data at 0x6b852260f0
Oct 20 05:30:15 OPNsense dhcp6c[38896]: freeing op data at 0x8
root@OPNsense:/var/log #

Ca s'arrete net a 5h30:15 le 20 (il y a 28 heures.)

[EDIT 2] J'ai trouve ca ... Oct 20 05:34:21 kernel: pid 38896 (dhcp6c), uid 0: exited on signal 11 (core dumped)

nivek1612 · « **Réponse #293 le:** 21 octobre 2018 à 11:29:35 »

Essaye ça.
Accédez au paramètre GUI Wan et cliquez sur SAVE, puis APPLY.

Tout changement ?

delurk · « **Réponse #294 le:** 21 octobre 2018 à 12:15:39 »

Je viens rectifier des informations que j'ai données en ce qui me concerne.

En fonçant tête baissé, je ne m'en suis pas aperçu mais tous mes problèmes venaient de la chaine d'authentification. J'ai utilisé le script en première page de @zoc qui n'a pas fonctionné pour ma part. Ce qui a fonctionné, c'est de récupérer ma chaine d'authentification en sniffant ma LB3. Aujourd'hui, j'utilise le même pattern que vous en ipv4 et ipv6 : 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx

Pour info @trap16, quand l'ipv6 fonctionne. Tu as une ipv6 qui s'affiche en plus de ton ipv4 sur l'interface LAN.

trap16 · « **Réponse #295 le:** 21 octobre 2018 à 22:02:57 »

Apparemment le save/apply a laisse igb2 dans le wan_conf.

Je tente de mettre igbb1 a la mano ?

Je ne peux pas reboot en ce moment, j'enregistre un programme TV, mais je rebooterai d'ici 2-3 heures (j'imagine qui si j'ai pris un core, le process de connection en ipv6 est mort)

root@OPNsense:/var/etc # ps -aux | grep dhcp
_dhcp 21459 0.0 0.0 1076336 3008 - Is 21:57 0:00.00 dhclient: igb1_vlan832 (dhclient)
_dhcp 35316 0.0 0.0 1076336 3016 - Is Sat05 0:00.05 dhclient: igb1_vlan838 (dhclient)
dhcpd 55842 0.0 0.1 24732 12068 - Is 21:57 0:00.01 /usr/local/sbin/dhcpd -user dhcpd -group dhcpd -chroot /var/dhcpd -cf /etc/dhcpd.conf -pf /v
root 57573 0.0 0.0 1076276 3044 - Ss Sat05 1:17.75 /usr/local/sbin/syslogd -s -c -c -P /var/run/syslog.pid -l /var/dhcpd/var/run/log -f /var/et
root 88765 0.0 0.3 91324 22088 - Ss 21:57 0:03.95 /usr/local/bin/python2.7 /usr/local/opnsense/scripts/dns/unbound_dhcpd.py /domain jupiter.la
root 85112 0.0 0.0 1080528 2852 0 S+ 22:00 0:00.01 grep dhcp
root@OPNsense:/var/etc # cat dhcp6c_wan.conf
interface igb1_vlan832 {
send ia-pd 0;
send raw-option 6 00:0b:00:11:00:17:00:18;
send raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
send raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d;
send raw-option 11 xxxxxxxxxxxxxxxxxxxx
script "/var/etc/dhcp6c_wan_script.sh";
};
id-assoc pd 0 {
prefix-interface igb2 {
sla-id 0;
sla-len 8;
};
};

nivek1612 · « **Réponse #296 le:** 21 octobre 2018 à 23:14:11 »

igb2 est ok

"Enable Debug" avant de redémarrer, nous pouvons consulter le journal DHCP et voir exactement ce qui se passe

trap16 · « **Réponse #297 le:** 21 octobre 2018 à 23:48:55 »

Apres reboot, ca marche. Je vois une ip6

Pour info je mets en piece jointe le log dhcp6 (j'ai efface les infos sensibles), apparemment il a fait une serie de 8 solicit ene chec et 2 min plus tard il a recommence et a recu son ip

J'ai peut etre pas reboote la machine depuis le core que j'ai vu le 20oct a 5h34 ... j'imagine que ca pourrait expliquer que malgre des settings correct il ne trouvais pas l'ip6.
Par contre je n'ai aucune idee du pourquoi du core (a part peut etre ma manip sur la page interface pour changer le port physique sur une ou plusieurs interfaces), j'ai le fichier sur machine a disposition (sous reserve de faire gaffe si il y a des donnees sensibles dedans)

root@OPNsense:/ # ls -al *core
-rw------- 1 root wheel 1089310720 Oct 20 05:34 dhcp6c.core

Merci !

nivek1612 · « **Réponse #298 le:** 21 octobre 2018 à 23:55:21 »

excellent

Franckb78 · « **Réponse #299 le:** 22 octobre 2018 à 00:23:18 »

Bonjour,

Je viens d'installer opnSense en machine virtuelle avec deux interfaces réseaux.

em0 => direct vers le Gpon
em0.vlan832 => WAN
em1 => local LAN

J'ai appliqué le dernier patch opnSense donc
18.7.5_1-amd64
FreeBSD 11.1-RELEASE-p14
OpenSSL 1.0.2p 14 Aug 2018

J'ai envie de dire qu'il y a un gros bug dans dhclient du coté de la prio 6
et vlan-parent em0, vlan-pcp 6, vlan-id 866

52:54:00:00:00:00 > ff:ff:ff:ff:ff:ff, ethertype 802.1Q (0x8100), length 414: vlan 832, p 0, ethertype 802.1Q, vlan 866, p 6, ethertype IPv4, (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 392) 0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from 52:54:00:00:00:00, length 364, xid 0xd4630896, secs 5, Flags [none] (0x0000) Client-Ethernet-Address 52:54:00:00:00:00 Vendor-rfc1048 Extensions Magic Cookie 0x63825363 DHCP-Message Option 53, length 1: Discover Vendor-Class Option 60, length 5: "sagem"
Cela insère deux champs 802.1Q !!!
ethertype 802.1Q (0x8100), length 414: vlan 832, p 0, ethertype 802.1Q, vlan 866, p 6
et donc jamais de Offer au Request
(866 c'est volontaire pour bien voir que c'est un deuxième tag)

Je vois pas comment une mauvaise config pourrait aboutir à ça. Je vois pas nom plus KVM/libvirt jouer avec les tags 801Q !
On fait je vois surtout pas l'utilité d'empiler les tags 802.1Q donc comment du code peut produire ça.....
Et pourtant, c'est bien une 'mauvaise config'

vlan-parent "em0", vlan-pcp 6, vlan-id 866
Guillemets sur le nom de l'interface......

En fait ce firewall (opnSense) ne vérifie aucun des paramètres qui sont passés. Si par exemple un champ requiert un entier ou rien, on passe 'toto' sans problème.

Donc j'ai bien mon IP sur WAN

Voila