La Fibre
Datacenter et équipements réseaux => Routeurs => 
Remplacer la LiveBox par un routeur => Discussion démarrée par: levieuxatorange le 27 septembre 2024 à 11:17:47
-
Bonjour
Un petit message pour vous donner une tendance qui se dessine à la stratégie chez nous :
- sur Fibre OLT, tous les clients ont accès aux DHCP 832 sur le VLAN que l'on appelle multiservice et qui porte la VoIP et la TV aussi.
- VLAN832 qui est dual stack et qui s'inscrit dans la vision lointaine de priorisation hyper majoritaire de l'IPv6 sur le réseau Orange.
- le multicast est dans le VLAN 840 "IP less coté boxe"
- le VLAN 835 sert au PPP pour la partie autoconfiguration (pour le moment, migration probable pour le futur de tout ou parti du parc en DHCP pour l'autoconfiguration) et pour les clients ne voulant/sachant pas faire de DHCP
Il reste sur OLT en plus ces trois VLANs long terme :
- le 851 qui porte les offres de VoIP pour les clients en PPP
- le 838 qui porte les offres TV pour les clients en PPP.
Je vois des choses sur le forum autour du setup de solution permettant de garder la boxe derrière un routeur en utilisant ces deux VLANs pour les services VoIP et TV
Il va falloir regarder plutôt à faire vos manipulations autour du VC 832 et ne plus toucher en VC/VLAN 851 et 838.
Je rappelle mon point de vue : si vous voulez autre chose que du 1P, ressortez vos boxes, vous serez garanti que cela fonctionne .
Sans horizon de date précis, il est très probable que sur OLT (FIBRE, et uniquement sur FIBRE, cela ne concerne PAS le cuivre pour lequel tout sera maintenu jusqu'à la fin de décommissionnement du cuivre) ces 2 VC/VLAN 851 et 838 soient désactivés.
LeVieux.
-
Bonjour,
Merci pour les nouvelles @levieuxatorange.
Bonne journée
-
@levieuxatorange :
C'est une véritable galère de remplacer la Livebox. Et Orange n'est pas au niveau de nos attentes. On ne peut même pas segmenter son réseau local afin
de pouvoir proposer des services ouverts et confidentiels (auto-hébergement, innovations). Franchement, je m'en serais bien passé de remplacer ma
Livebox. Je veux bien croire que la Livebox est mieux conçue, mais au vu de ce qu'on peut en tirer, pas plus qu'un accès ordinaire à l'Internet haut débit.
Je parle pour mon cas car c'est par obligation que je veux remplacer la Livebox. Les réseaux informatiques, c'est pas trop mon truc.
- le multicast EST (correction d'une faute de frappe) dans le VLAN 840 "IP less coté boxe"
[15:22] Ah, j'ai vaguement compris !
Le réseau Orange envoie des paquets pour le flux TV (VLAN 832) via le groupe multicast (arbre STA) (protocole IGMPv2, VLAN 840) à laquelle est abonnée la Livebox.
-
Orange rappelle que vous êtes sur une connexion Grand Public, les clients Grand Public ne sont pas censés mettre un datacenter et un réseau complexe de Vlans derrière leur connexion internet.
Si vous voulez faire joujou sans investir, il y a les machines virtuelles avec VMware Workstation et surtout Packet Tracer (compte obligatoire mais logiciel très puissant/réaliste et tout en anglais) ou Filius (plus limité mais en français) qui sont des simulateurs de réseau/web/DNS/DHCP/Vlans/etc
Si votre souhait est de monter un réseau complexe, normalement vous avez déjà les connaissances et c'est aisément que vous le mettez en place en investissant là où il faut.
-
Salut à tous.
Orange rappelle que vous êtes sur une connexion Grand Public, les clients Grand Public ne sont pas censés mettre un datacenter et un réseau complexe de Vlans derrière leur connexion internet.
Mais qui t'a dit que ceux qui veulent remplacer leur BOX par un routeur, vont installer un datacenter chez eux ?
Pas question de monter un réseau complexe, juste quelque chose qui répond au besoin de chacun.
A t'entendre, on dirait que c'est mal. :o
-
Salut à tous.
Mais qui t'a dit que ceux qui veulent remplacer leur BOX par un routeur, vont installer un datacenter chez eux ?
Pas question de monter un réseau complexe, juste quelque chose qui répond au besoin de chacun.
A t'entendre, on dirait que c'est mal. :o
il ne dit pas que c'est mal, juste que ce n'est pas la cible d'Orange et qu'ils priorisent la simplicité/praticité pour eux et pas pour ceux qui veulent des choses un peu complexes derrière (comme les utilisateurs de ce forum).
-
Orange rappelle que vous êtes sur une connexion Grand Public, les clients Grand Public ne sont pas censés mettre un datacenter et un réseau complexe de Vlans derrière leur connexion internet.
Ca me fait penser à ça
(https://i.imgur.com/7KDhcII.png)
;D ;D ;D
-
@levieuxatorange :
Je repensais à ma configuration basée sur OpenWrt. Il paraît que le nouveau système d'exploitation des Livebox sera prplOS.
Dans le futur, sans développement côté OpenWrt, la technique VoIP présentée sur le forum ne fonctionnera pas en IPv6. En
effet, le serveur DHCPv6 OpenWrt que l'on nomme odhcpd ne supporte pas l'option d'authentification requise.
Pourrais t'on savoir si la VoIP fonctionne désormais en IPv6 via les DNSv6 Orange ?
Peut-on techniquement, à moindre frais, faire fonctionner le téléphone fixe en se passant de la Livebox ?
-
@levieuxatorange :
Je repensais à ma configuration basée sur OpenWrt. Il paraît que le nouveau système d'exploitation des Livebox sera prplOS.
Dans le futur, sans développement côté OpenWrt, la technique VoIP présentée sur le forum ne fonctionnera pas en IPv6. En
effet, le serveur DHCPv6 OpenWrt que l'on nomme odhcpd ne supporte pas l'option d'authentification requise.
Pourrais t'on savoir si la VoIP fonctionne désormais en IPv6 via les DNSv6 Orange ?
Peut-on techniquement, à moindre frais, faire fonctionner le téléphone fixe en se passant de la Livebox ?
Non, ils ont modifier asterix comme des dingues sans jamais reversé le code. Il y avait un projet opensource, mais le maintainer a été harass par orange et a fini par laisser tomber.
-
Non, ils ont modifier asterix
Astérix c'est le gaulois de René Goscinny et Albert Uderzo. Je suppose que tu voulais parler d'Asterisk, un serveur téléphonique IP.
-
Astérix c'est le gaulois de René Goscinny et Albert Uderzo. Je suppose que tu voulais parler d'Asterisk, un serveur téléphonique IP.
C'est ça.
Une lettre de corrigé sur 182 au total !
-
[...]
Peut-on techniquement, à moindre frais, faire fonctionner le téléphone fixe en se passant de la Livebox ?
Non, LB obligatoire pour utiliser la téléphonie.
-
Peut-on techniquement, à moindre frais, faire fonctionner le téléphone fixe en se passant de la Livebox ?
On peut imaginer mettre en place une solution de contournement en configurant un transfert d'appel soit vers un numéro SIP chez un fournisseur permettant d'utiliser n'importe quel telephone IP, soit encore plus simple, vers un mobile (qui pourra utiliser le VoWifi si nécessaire).
Question subsidiaire: peut-on demander une portabilité du numéro associé à la Livebox (géographique ou non) vers un opérateur tiers (SIP ou non), tout en conservant l'accès fibre ?
-
Question subsidiaire: peut-on demander une portabilité du numéro associé à la Livebox (géographique ou non) vers un opérateur tiers (SIP ou non), tout en conservant l'accès fibre ?
Si j'ai bien compris, c'est impossible puisque la portabilité implique la résiliation.
Ou alors, il faut signifier à son opérateur d'origine qu'il va recevoir une résiliation qu'il faudra ignorer!
J'imagine déjà le sac de nœuds avec le support...
-
J'espérais que cela pouvait changer en passant à l'IPv6.
J'essaye de trouver une « utilité » à la Livebox. Elle restera branchée, de facto. C'est très ennuyeux.
IPv6 devrait être avantageux par rapport à IPv4 et IPv4 ne m'intéresse pas. C'est vraiment tordu.
-
J'espérais que cela pouvait changer en passant à l'IPv6.
Orange utilise une authentification par challenge sur ses serveurs SIP, challenge basé sur une somme de contrôle avec l'algorithme "MD5". J'ai mis MD5 entre guillemets parce qu'en fait ce n'est pas du MD5 mais du MD5 légèrement modifié (et on ne sait pas comment). Un client SIP non modifié génère donc une somme de contrôle différente de celle attendue.
Du coup je doute fortement que la version du protocole IP y change quoi que ce soit. Et de toute façon pour l'instant la téléphonie Orange est en IPv4 uniquement.
-
@zoc :
Merci pour ta réponse ! Cela m'aide à estimer ce qui présente un intérêt pour OpenWrt et Orange.
J'espérais naïvement que Orange aurait rendu son réseau plus accessible lors de la transition vers IPv6. Ce n'est pas le cas.
Orange privilégie visiblement la promotion de ses abonnements « pro » et « business » dédiés à la téléphonie par IP.
-
Orange utilise une authentification par challenge sur ses serveurs SIP, challenge basé sur une somme de contrôle avec l'algorithme "MD5". J'ai mis MD5 entre guillemets parce qu'en fait ce n'est pas du MD5 mais du MD5 légèrement modifié (et on ne sait pas comment). Un client SIP non modifié génère donc une somme de contrôle différente de celle attendue.
Pour le MD5, c'est du MD5 mais y'a une clef de sécurité en plus. On subit tellement d'attaque sur le sujet que l'on est plus que parano. Et même là on a des fraudeurs qui arrivent à être inventif et à pomper des centaines de K€ (même si avec tous les efforts que l'on met ce chiffre est plutôt en baisse franche)
Et c'est bien cela qui est la source de cette complexité.
Du coup je doute fortement que la version du protocole IP y change quoi que ce soit. Et de toute façon pour l'instant la téléphonie Orange est en IPv4 uniquement.
La route de la VoIP vers IPv6 est longue, mais j'ai vu les premiers calls en IPv6 pur de bout en bout en interne.
L'écosystème complet doit évoluer, beaucoup de chose à modifier ...
Mais je confirme, la version de protocole ne changera pas grand chose.
LeVieux
-
Si SIP est authentifié par MD5 + une clef et que la livebox est l'une des parties de cette connexion SIP, il y a fort à parier que la clef est dans le firmware. Avec du reverse engineering, elle doit pouvoir s'extraire...
J'espérais que cela pouvait changer en passant à l'IPv6.
J'essaye de trouver une « utilité » à la Livebox. Elle restera branchée, de facto. C'est très ennuyeux.
IPv6 devrait être avantageux par rapport à IPv4 et IPv4 ne m'intéresse pas. C'est vraiment tordu.
Comme le dit LeVieux, la version d'IP n'a pas beaucoup de raison d'être corrélée à la méthode d'auth utilisée pour le SIP...
Une Livebox avec wifi désactivé doit probablement consommer à peu près la même chose qu'un adaptateur SIP<>FXS (quelques watts tout au plus). Tu peux la mettre derrière ton propre routeur, dans un VLAN séparé.
Si tu tiens vraiment à conserver le téléphone fixe, est-ce que ca serait une solution envisageable ?
-
@simon :
Oui. Désormais, je suis fixé.
Techniquement, sans contribution, il suffirait d'incorporer sans sourciller l'option d'authentification DHCPv4 90 dans odhcpd. Puis,
y intégrer proprement l'option DHCPv4 125. Laisser la Livebox mariner en IPv4 privée sur un VLAN derrière le routeur. Triste !
-
Attends, n'y a-t-il pas déjà des tutoriaux pour faire cela avec OpenWRT, sans qu'aucune modification d'odhcpd soit nécessaire ?
Je croyais avoir vu ca, mais je me trompe peut-être. Ma Livebox est dans un carton depuis des années, je n'utilise que l'accès à internet (téléphonie en VoWifi qui fonctionne sans souci chez Bouygues, en IPv6 de surcroit).
-
@simon :
C'est possible avec dnsmasq (installé par défaut comme serveur DHCPv4) mais pas avec odhcpd comme serveur DHCPv4.
-
OK, noté, donc il y a moyen de le faire avec dnsmasq, mais tu utilises odhcpd pour d'autres raisons.
Fais tourner dnsmasq uniquement sur le VLAN Livebox, et sers le reste avec odhcpd ?
-
@simon :
Mon routeur fait aussi de la 4G LTE (deuxième carte SIM et failover) mais je n'ai plus envie de me prendre la tête.
Au point où j'en suis, je vais simplement retirer dnsmasq et le remplacer par odhcpd.
-
Si SIP est authentifié par MD5 + une clef et que la livebox est l'une des parties de cette connexion SIP, il y a fort à parier que la clef est dans le firmware. Avec du reverse engineering, elle doit pouvoir s'extraire...
Alors en fait je n'en suis pas si certain. La box au démarrage fait tout un tas de requêtes HTTPS vers des serveurs internes Orange, et il est fort possible qu'elle récupère sa clé à ce moment là. Et ça permet de la changer sans mise à jour firmware et d'avoir une clé différente pour chaque client. Il est peut-être possible d'en découvrir un peu plus en utilisant un proxy HTTPS, sauf si la box fait du certificate pinning (ce que perso en tant que des je ferais parce que ce n'est pas si compliqué à implémenter et empêche le MITM)...
-
Alors en fait je n'en suis pas si certain. La box au démarrage fait tout un tas de requêtes HTTPS vers des serveurs internes Orange, et il est fort possible qu'elle récupère sa clé à ce moment là.
Oui, c'est possible. Tout comme le fait qu'elle génère des clefs/secrets et les envoie à Orange lors de sa phase de provisioning, puis qu'elle les conserve jusqu'à un reset usine.
ce que perso en tant que de[v] je ferais parce que ce n'est pas si compliqué à implémenter et empêche le MITM)...
Autant je salue ton niveau technique et suis d'accord avec toi sur le niveau de difficulté pour l'implémenter, autant... d'expérience, le monde du dev firmware dans des grosses SSII ne me semble pas aussi affuté que toi :-)
Mais oui, sans info, on peut tout supposer, je suis d'accord. Je n'utilise pas la téléphonie fixe donc n'ai pas la motivation d'aller désassembler le firmware de ma box.
-
bonjour
Je vais pas vous détailler les parties sécu de la LiveBox là dessus, mais cela a été fait en prenant en compte l'impact possible en revenu assurance et avec une grande considération pour la motivation et le niveau technique des attaquants.
On vis à exclure du chant des possibles les attaquants bons à très bons pour n'etre vulnérable que aux excellents et avec une surface d'attaque très réduite en nombre de clients impactable.
L'idée est que cela soit non rentable en terme d'investissement pour un attaquant cherchant un revenu et qu'il aille voir ailleurs.
Cela ne nous protège pas de la volonté de "capture de drapeau" mais on est souvent sur des profils un peu différent là.
Un vieux vieux souvenir : avant le lancement de la première LB (donc 2004) j'avais appelé mon responsable sécu avec un numéro appelant en 666 .... réponse : "ah, j'ai un vrai problème là qu'il faut que je traite en profondeur"
Cela fait donc 20 ans que l'on durcit ces générations de boxe ...
LeVieux
-
L'université de Lille a ouvert un MOOC sur la rétro-ingénierie (https://www.fun-mooc.fr/fr/cours/rip-retro-ingenierie-de-programmes/) !
-
Si SIP est authentifié par MD5 + une clef et que la livebox est l'une des parties de cette connexion SIP, il y a fort à parier que la clef est dans le firmware. Avec du reverse engineering, elle doit pouvoir s'extraire...
x0r avait déterminé quel était l'algo utilisé, c'est retrouvable sur la wayback machine (censuré sur son blog). Mais je ne sais pas s'il a changé depuis. Après vu que le livephone n'existe plus, je sais pas si ça nous avance à grand chose...
-
C'était l'algo utilisé par l'application mobile Orange Phone, et effectivement on avait une implémentation de siproxy fonctionnelle. La box s'authentifie différemment.
-
Il y avait 1 algo pour la box et 1 pour le livephone sur le proxy donc ?
-
Oui.
-
Comme si un seul algo non standard n'était pas suffisant...
Et en parlant de bidouille, j'ai acheté pour mes parents un ATA grandstream pour re-renter le tout dans mon asterisk et faire des trucs un peu sympa comme le filtrage du démarchage (vu que rien n'est prévu dans la box...), moi aussi je m'amuse :D
-
Et en parlant de bidouille, j'ai acheté pour mes parents un ATA grandstream pour re-renter le tout dans mon asterisk et faire des trucs un peu sympa comme le filtrage du démarchage (vu que rien n'est prévu dans la box...), moi aussi je m'amuse :D
Ca sait faire de l'IPSec ou autre VPN pour chiffrer le traffic VoIP, ou tout passe toujours en clair comme dans les années 2000 ?