bon ben je viens de trouver mon erreur, le clientID n'etait pas bien encodé cela marche beaucoups mieux maintenant.
next step la TV d'orange et le Tel

merci

merci Basilix pour ta réponse et tes explications.
- concernant la notation CIDR : ayant repris la config telle quelle de la procédure  Remplacement de la Livebox par un routeur Openwrt 18+ (DHCP V4/V6 + TV).  je ne me suis pas amusé à faire du refactoring de la config.
- pour le port eth2 : en fait sur le routeur QHORA322 le port 1 (port WAN) est en fait l' eth2 d'ou cette config.

concernant le reste c'est à dire la gestion des vlans 832 et 840 ainsi que le volet gestion des Cos ce sont des aspects que je ne maitrise pas. je lis les threads afin de faire évoluer mon matériel et profite au max de certains aspects : debits, reseau domestique manageable etc...
maintenant (sans me preoccuper de la partie TV) simplement sur le VLAN 832 une idée de ce qui clocherait concerant les flux arrivants depuis l'interface wan4 vers mon interface eth1.832 ?
au niveau firewall comment doit etre definir la zone associé à mon interface eth1.832 (les histoires d'INPUT, OUTPUT et FORWARD j'avoue que je ne comprends pas en pratique)
dans eth2.832 on a des priorités
config device
option name 'eth2.832'
option type '8021q'
option ifname 'eth2'
option vid '832'
list egress_qos_mapping '1:0'
list egress_qos_mapping '0:6'
list egress_qos_mapping '6:6'
option macaddr '25:99:99:22:33:AA'

est ce que celle ci devrait aussi etre repercuté au niveau de mon nouvel interface ou ce nest pas necessaire ?
actuellement j'ai ceci
extrait de /etc/config/network
config device
option type '8021q'
option ifname 'eth1'
option vid '832'
option name 'eth1.832'
option ipv6 '0'

config interface 'LanLB'
option proto 'static'
option device 'eth1.832'
option ipaddr '192.168.20.1'
option netmask '255.255.255.0'
option force_link '0'
à noter que l'option ipv6 '0' a été crée automatiquement via l'interface LuCi (je ne l'ai pas fais manuellement)

extrait de /etc/config/firewall
config zone
option name 'lanLBFW'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
list network 'LanLB'

je voudrais procéder etape par etape et donc avoir deja le Tel sur ma LB

Merci encore 

Salut
j'ai fais quelques tests hier en adaptant br-lan et en ajoutant le vlan tagging en mettant à Untagged eth2 mais cela a fait tout freezer et je n'arrivais plus a communiquer avec mon routeur, heureusement le rollback de UCI permet de revenir a la config antérieure.
si je mets le vlan 832 avec le flag "T" sur ce meme port là mon bridge (br-lan) fonctionne mais rien ne se passe du coté Livebox (aucune trame n'arrive vers la LB)
je n'ai pas testé et rajouté encore les options 90 et 120 sur la section dhcp de mon lan.

Coté Firewall est ce que l'on peut mettre la zone a Accept partout (Input, Output et Forward) ? c'est une partie que j'ai du mal a comprendre.

je regarderais ce soir en rentrant du boulot si je trouve d'autres pistes ?

Merci
 

Bonjour

je continue mes recherches et j'ai vu que ma cos6 n'est pas appliqué or j'ai bien appliqué la solution suivante

Salut

et merci bcp pour toutes les informations. j'ai modifié un peu le contenu du fichier /etc/nftables.d/nft-prio6-rules.include afin de coller aux recos faite le thread durcissement-du-controle-de-loption-9011-et-de-la-conformite-protocolaire
En gros:

• j'ai viré les parties icmp et igmp qui n'étaient pas utiles pour internet v4/v6 (pas sur que ça le soit pour la TV je n'ai pas creusé)
• j'ai limité les paquets icmpv6 aux types NS, NA vers fe80::ba0::bab et RS
• j'ai rajouté le  DSCP CS6 en plus de la SKP priority 6

Code: [Sélectionner]

oifname "eth0.832" counter meta priority set 0:1
oifname "eth0.832" udp dport 67 counter meta priority set 0:6 ip dscp set cs6
oifname "eth0.832" udp dport 547 counter meta priority set 0:6 ip dscp set cs6
oifname "eth0.832" icmpv6 type { nd-neighbor-solicit, nd-neighbor-advert } ip6 daddr fe80::ba0:bab/128 counter meta priority set 0:6 ip6 dscp set cs6
oifname "eth0.832" icmpv6 type nd-router-solicit counter meta priority set 0:6 ip6 dscp set cs6

 je suis en version 23.05.03

on peut check avec tcmpdump.

Avant, on voit bien une vlan priorité à 6 (p 6) mais un DSP CS0 (tos 0x00)

Code: [Sélectionner]

root@router:~# tcpdump -i eth0 -vv -n -s0 -e 'vlan 832 and ether src xx:xx:xx:xx:xx:xx and ether[14] >> 5 = 6'
06:13:35.154539 xx:xx:xx:xx:xx:xx > a4:7b:2c:30:c7:e2, ethertype 802.1Q (0x8100), length 444: vlan 832, p 6, ethertype IPv4 (0x0800), (tos 0x0, ttl 64, id 46380, offset 0, flags [DF], proto UDP (17), length 426)

Après, on voit bien une vlan priorité à 6 (p 6) et un DSCP CS6 (tos 0xc0)

Code: [Sélectionner]

root@router:~# tcpdump -i eth0 -vv -n -s0 -e 'vlan 832 and ether src xx:xx:xx:xx:xx:xx and ether[14] >> 5 = 6'
06:14:23.571699 xx:xx:xx:xx:xx:xx > a4:7b:2c:30:c7:e2, ethertype 802.1Q (0x8100), length 444: vlan 832, p 6, ethertype IPv4 (0x0800), (tos 0xc0, ttl 64, id 62412, offset 0, flags [DF], proto UDP (17), length 426)

Enfin pour la compréhension générale, j'aurai rajouté le commentaire suivant pour expliquer les lignes egress_qos_mapping dans /etc/config/network:

Code: [Sélectionner]

config device
option name 'eth0.832'
option type '8021q'
option ifname 'eth0'
option vid '832'
list egress_qos_mapping '1:0' # dans nft-prio6-rules.include on set la skp priority par défaut à 1 qu'on map en vlan priority 0 (COS 0). ca va matcher tous les paquets IPv4 et IPv6 (inet)
list egress_qos_mapping '6:6' # dans nft-prio6-rules.include on set la skp priority à 6 pour les pacquets DHCP et ICMPv6 spécifiques, qu'on map en prio vlan 6 (COS 6)
list egress_qos_mapping '0:6' # tout le reste (donc ce qui n'est pas inet (aka ipv4 or ipv6)) sera mappé en vlan prio 6 (COS 6), ce qui inclue ARP (exclusivement dans le cas présent).
option macaddr 'xx:x:xx:x:x:xx'

j'ai galéré à comprendre comment les paquets ARP étaient taggé en vlan priority 6.

j'ai bien mis en place le script /etc/config/tc.sh et le script qui le lance lors du boot du routeur dans /etc/hotplug.d/net/10-tc (avec les bons droits)

et pourtant quand je lance
tcpdump -i eth2 -vv -n -s0 -e 'vlan 832 and ether src XX:XX:XX:XX:XX:XX and ether[14] >> 5 = 6'

23:00:08.742427 XX:XX:XX:XX:XX:XX > e4:81:84:c7:28:a1, ethertype 802.1Q (0x8100), length 102: vlan 832, p 6, ethertype IPv4 (0x0800), (tos 0x0, ttl 64, id 39425, offset 0, flags [none], proto ICMP (1), length 84)
apparemment le tos 0x0 ne serait pas la bonne valeur.

en plus de cela


comment forcer cette Cos6 ?

Merci

Salut

apres quelques jours d'absences je reviens en donnant des nouvelles sur mon probleme.
j'ai finalement créé un interface sur le sur le bridge reprenant mon vlan 832 qui relie ma LVB.
## br-lan par defaut, j'ai retiré le eth1 qui est le device ou est relié ma LVB
config device
option name 'br-lan'
option type 'bridge'
option ipv6 '0'
list ports 'eth0'
list ports 'eth2'
list ports 'eth3'
list ports 'eth4'
list ports 'eth5'
list ports 'eth7'
list ports 'eth8'

## Bridge basé sur le vlan 832 du device eth 1 (LVB)
config bridge-vlan
option device 'brlb'
option vlan '832'
list ports 'eth1:t'

## Interface basé sur le bridge (LVB)
config interface 'lanlb'
option proto 'static'
option ipaddr '192.168.32.1'
option netmask '255.255.255.0'
option delegate '0'
option device 'brlb.832'

 j'ai créé sur cette interface un serveur DHCP afin que ma LVB puisse avoir une IP (qui ne corresponds pas à 192.168.1.0/24 qui est le lan interne de la LVB)
dans la configuration des options du DHCP Server j'indique bien les dhcp options (6,15,125 et 119)
config dhcp 'lanlb'
option interface 'lanlb'
option start '5'
option limit '2'
option leasetime '12h'
list dhcp_option '6,81.253.149.10,80.10.246.3'
list dhcp_option '15,orange.fr'
list dhcp_option '125,00:00:0d:e9:24:04:06:31:30:45:39:39:32:05:0f:53:4D:42:53:30:32:34:33:35:39:34:39:06:09:4c:69:76:65:62:6f:78:20:34'
list dhcp_option '119,NCY.access.orange-multimedia.net'

au niveau Firewall la zone ou est mon interface est bien en :
## defaults
config defaults
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
option synflood_protect '1'

config zone
option name 'lanlb'
option input 'ACCEPT'
option output 'ACCEPT'
option forward 'ACCEPT'
list network 'lanlb'

config forwarding
option src 'lanlb'
option dest 'lan'

config forwarding
option src 'lanlb'
option dest 'wan'

jusque la tout me semble correcte par contre meme si fait un restart de mon interface lanlb sur openwrt, relance le dnsmasq et faire un reboot de la LVB je reste sur l'ecran "Demarrage en cours 4/4"

en faisant un ifdown lanlb et ifup j'avais réussi à avoir à un moment cette séquence dans le logread
Tue Aug 26 19:45:29 2024 daemon.info dnsmasq-dhcp[1]: DHCPDISCOVER(brlb.832) xx:xx:xx:xx:xx:xx
Tue Aug 26 19:45:29 2024 daemon.info dnsmasq-dhcp[1]: DHCPOFFER(brlb.832) 192.168.32.6 xx:xx:xx:xx:xx:xx
Tue Aug 26 19:45:29 2024 daemon.info dnsmasq-dhcp[1]: DHCPREQUEST(brlb.832) 192.168.32.6 xx:xx:xx:xx:xx:xx
Tue Aug 26 19:45:29 2024 daemon.info dnsmasq-dhcp[1]: DHCPACK(brlb.832) 192.168.32.6 xx:xx:xx:xx:xx:xx



j'avoue que je suis perdue avec OpenWrt je ne comprends pas l'enchainement des étapes. ce qui est certain c'est que j'ai bien un IP Wan sur mon routeur et je peux naviguer sur le Web (et cela meme si je supprime mon bridge avec les options DHCP fournis glupsss)

quelqu'un peut me dire ce qui cloche, est ce qu'il un "ordre" afin que ma LVB puisse aboutir a sa connection. Je demande cela car dans mes milliers de tests il y a eu un moment ou ma LVB avait fonctionné, j'avais backupé la config. Pour etre certain que tout etait OK javais fais un simple reboot et malheureusement je me suis retrouvé avec ce probleme de demarrage en cours.

Merci :-)
PS : javais une config auparavant avec un edgerouter 4 et cela fonctionnait beaucoup plus facilement tout en ayant la meme "config", j'ai cette impression qu'openwrt est tres riche mais aussi tres capricieux aux moindres changements

ok je comprends.

mais juste un point tu parles de l'option 90 (Authentification) cette dhcp option n'est transmise que par mon interface wan4 et non mon interface qui relie ma LVB c'est bien ça ?

@ plus