Auteur Sujet: Remplacement de la Livebox par un routeur LEDE (fork d'OpenWRT) (Lu 79997 fois)

simon · « **Réponse #192 le:** 28 mars 2018 à 20:18:32 »

Citation de: cetipabo le 26 mars 2018 à 20:07:58

Avec Liveboxinfos je m'aperçois que les options DHCP v6 15 et 16 envoyées sont :

Code: [Sélectionner]
option 15 : 002b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e6c697665626f7834 option 16 : 0000040e0005736167656d
Pour l'option 15, vous noterez le 00 avant la chaine : +FSVDSL_livebox.Internet.softathome.livebox4
Pour l'option 16, vous noterez le 0000040e0005 avant la chaine : sagem

@simon, tu ne mets pas le "+" dans ton option 15 ?

0x002b ("\0+") ne fait pas partie de la chaine à proprement parler: c'est la longueur de la chaine sur 16 bits (43 bytes). Elle est ajoutée par odhcp6c lorsqu'il assemble la requête (dans la fonction parse_opt_user_class, https://tools.ietf.org/html/rfc3315#section-22.15) et j'ai bien exactement la même séquence de bytes que la livebox on the wire.

https://tools.ietf.org/html/rfc3315#section-22.15
The data area of the user class option MUST contain one or more instances of user class data. Each instance of the user class data is formatted as follows: +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-...-+-+-+-+-+-+-+ | user-class-len | opaque-data | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-...-+-+-+-+-+-+-+ The user-class-len is two octets long and specifies the length of the opaque user class data in network byte order.

Côté ipv4, udhcpc ne préfixe pas la chaîne par sa longueur car il ne fait pas la différence entre les opcodes.
Il prend un string hexa qu'il envoie tel quel: il faut donc le préfixer par 0x2b (et non 0x002b car la longueur de la chaîne d'options en dhcpv4 n'est codée que sur 8 bits, contre 16 en ipv6).

ubune · « **Réponse #193 le:** 08 avril 2018 à 18:19:08 »

Bonjour à tous et Merci Simon pour la version d'odhcp6c !!

Du coup j'ai une config niquel en Lede@17.01.4 sur WRT1900ACS => IPV4 IPV6, et pour moi il fallait bien avoir le diff serv en cs6 même pour l'ipv6 sinon pas de prefixe ^^.

Et donc pour éviter d'avoir des pb de débit (si tout votre flux ipv6 est en cs6) :

ip6tables -t mangle -A POSTROUTING -o eth1.832 -j CLASSIFY --set-class 0000:0001 #on remet tout le flux en file 1 qui est prio 0
ip6tables -t mangle -A POSTROUTING -o eth1.832 -p ipv6-icmp -j CLASSIFY --set-class 0000:0006
ip6tables -t mangle -A POSTROUTING -o eth1.832 -p udp --dport 547 -j CLASSIFY --set-class 0000:0006"

Pour la partie firewall ipv6, après réflexion j'ai décidé d'autoriser tous flux IPV6 (pas uniquement tcp/udp) entrant sortant hôte/serveur, sans dhcpv6 et donc utilisation des ip temporaires par les hôtes, c'est pas si dégueu niveau sécu, surtout avec un bon firewall sur le pc, et c'est tellement bon de ne plus être naté...
Pour le coup je ne comprends vraiment pas Orange pour le fw de la livebox en ipv6, c'est stupide de bloquer tous flux entrant par défaut surtout quand tu ne peux pas autoriser autre chose que du tcp/udp... '-_-)
Au passage, j'en profite pour vous conseiller un petit outil compatible Lede "nlbwmon" qui est super pour voir quel hôte consomme quoi (en bande passante, protocoles utilisés...) et surtout ça donne la répartition IPV6 vs IPV4, pour voir l'utilisation réel derrière.

A bientot !

kgersen · « **Réponse #194 le:** 08 avril 2018 à 19:51:21 »

Citation de: ubune le 08 avril 2018 à 18:19:08

Pour le coup je ne comprends vraiment pas Orange pour le fw de la livebox en ipv6, c'est stupide de bloquer tous flux entrant par défaut surtout quand tu ne peux pas autoriser autre chose que du tcp/udp... '-_-)

c'est pas stupide et très bien de bloquer par défaut. Ce qui est stupide ce sont effectivement les limitations des réglages de ce firewall et surtout de ne pas pouvoir utiliser les autres /64 du /56.

ubune · « **Réponse #195 le:** 08 avril 2018 à 21:43:05 »

Citation de: kgersen le 08 avril 2018 à 19:51:21

c'est pas stupide et très bien de bloquer par défaut. Ce qui est stupide ce sont effectivement les limitations des réglages de ce firewall et surtout de ne pas pouvoir utiliser les autres /64 du /56.

Je comprends l’idee, mais ce qui était logique derrière un nat ne l’est pas forcèment sans (ip public temporaire, fw client bien configuré...).
Meme si dans l’absolu je suis d’accord surtout pour du grand public, d’autre opérateur comme Free n’ont pas fait ce choix par exemple.
Mais quand j’utilise le terme stupide c’etait pas que pour ça, c’etait surtout sur le faite de ne pouvoir laisser uniquement du tcp/udp sur la configuration de la box.
En espérant qu’ils apportent tout ça dans une future maj^^

farellion · « **Réponse #196 le:** 10 avril 2018 à 21:22:42 »

Bonjour à tous

Merci Simon pour la config odhcp6c !!

Sauf que chez moi, ça ne marche pas. J'ai fait les sniffs qui vont bien, les paquets entre mon routeur et la livebox sont pratiquement identiques (CAS, option demandées, option envoyées). J'ai tout de même rajouté le 'Client Identifier' avec l'option -c pour coller mieux avec la trame de ma livebox :

Code: [Sélectionner]

-c 00030001zzxxzzxxzzxx \

Les seuls choses qui diffèrent c'est l'ordre des options dans le paquet et l'option 25 :

Code: [Sélectionner]

Identity Association for Prefix Delegation
    Option: Identity Association for Prefix Delegation (25)
    Length: 12
    Value: xxZZxxZZ00000e1000001518
    IAID: xxZZxxZZ
    T1: 3600
    T2: 5400

Je ne sais pas comment la passer dans odhcp6c ... A noter que le champ IAID reprend les 4 derniers octets de la MAC de la livebox. Pour info, l'option passée par odhcp6c :

Code: [Sélectionner]

Identity Association for Prefix Delegation
    Option: Identity Association for Prefix Delegation (25)
    Length: 12
    Value: 000000010000000000000000
    IAID: 00000001
    T1: 0
    T2: 0

Nota : Dans mon cas la chaine d’authentification envoyée par la Livebox est la même dans les deux cas (DHCP&DHCPv6)
Nota2 : Durant mes test, mon IPv4 à changé, sans que je sache pourquoi ...

voilà, si qqun à une idée ... je suis preneur

ubune · « **Réponse #197 le:** 13 avril 2018 à 12:16:45 »

Citation de: farellion le 10 avril 2018 à 21:22:42

Bonjour à tous

Merci Simon pour la config odhcp6c !!

Sauf que chez moi, ça ne marche pas. J'ai fait les sniffs qui vont bien, les paquets entre mon routeur et la livebox sont pratiquement identiques (CAS, option demandées, option envoyées). J'ai tout de même rajouté le 'Client Identifier' avec l'option -c pour coller mieux avec la trame de ma livebox :

Code: [Sélectionner]
-c 00030001zzxxzzxxzzxx \
Les seuls choses qui diffèrent c'est l'ordre des options dans le paquet et l'option 25 :

Code: [Sélectionner]
Identity Association for Prefix Delegation Option: Identity Association for Prefix Delegation (25) Length: 12 Value: xxZZxxZZ00000e1000001518 IAID: xxZZxxZZ T1: 3600 T2: 5400
Je ne sais pas comment la passer dans odhcp6c ... A noter que le champ IAID reprend les 4 derniers octets de la MAC de la livebox. Pour info, l'option passée par odhcp6c :

Code: [Sélectionner]
Identity Association for Prefix Delegation Option: Identity Association for Prefix Delegation (25) Length: 12 Value: 000000010000000000000000 IAID: 00000001 T1: 0 T2: 0

Nota : Dans mon cas la chaine d’authentification envoyée par la Livebox est la même dans les deux cas (DHCP&DHCPv6)
Nota2 : Durant mes test, mon IPv4 à changé, sans que je sache pourquoi ...

voilà, si qqun à une idée ... je suis preneur

Bonjour Farellion,

Pour info j’envoie exactement la même option 25 que toi (qui n'est donc pas la même que celle émise par ma livebox) et pourtant je reçois bien le préfixe, es-tu sûr du reste ?
Pourrais-tu envoyer une capture tcpdump udp port 547 ? A la limite si ça te gène vraiment d'envoyer les identifiants tu peux :
Vérifier avec wireshark que l'id envoyé actuellement correspond bien au fti/xxxxx, et ensuite modifier l'option pour mettre un truc factice et nous renvoyer le nouveau .pcap ?

A+

farellion · « **Réponse #198 le:** 15 avril 2018 à 22:25:48 »

Citation de: ubune le 13 avril 2018 à 12:16:45

Bonjour Farellion,

Pour info j’envoie exactement la même option 25 que toi (qui n'est donc pas la même que celle émise par ma livebox) et pourtant je reçois bien le préfixe, es-tu sûr du reste ?
Pourrais-tu envoyer une capture tcpdump udp port 547 ? A la limite si ça te gène vraiment d'envoyer les identifiants tu peux :
Vérifier avec wireshark que l'id envoyé actuellement correspond bien au fti/xxxxx, et ensuite modifier l'option pour mettre un truc factice et nous renvoyer le nouveau .pcap ?

A+

Merci pour ton aide !

Donc, j'ai fait un tcpdump (j'aurais du le faire dès le départ...) et effectivement le pb vient pas de chez Orange mais de chez moi. j'ai bien un paquet "Advertise" qui m'est retourné par le routeur, sans que LEDE en tienne compte.

Je sèche un peu sur la raison de la réaction de LEDE. Ma config est strictement identique à celle qui est ici. Si je mets l'option "-v" au process, voilà ce que j’obtiens :

Code: [Sélectionner]

Sun Apr 15 22:13:49 2018 daemon.notice netifd: Interface 'wan6' is now down
Sun Apr 15 22:13:49 2018 daemon.notice netifd: Interface 'wan6' is setting up now
Sun Apr 15 22:13:49 2018 daemon.notice netifd: wan6 (2371): ./dhcpv6.sh: eval: line 1: json_for_each_item: not found
Sun Apr 15 22:13:49 2018 daemon.notice netifd: wan6 (2371): ./dhcpv6.sh: eval: line 1: json_for_each_item: not found
Sun Apr 15 22:13:49 2018 daemon.notice odhcp6c[2379]: (re)starting transaction on eth1.832
Sun Apr 15 22:13:49 2018 daemon.notice odhcp6c[2379]: Starting SOLICIT transaction (timeout 4294967295s, max rc 0)

Bref ... "Circulez ya rien a voir"

Pour info, mon fichier de config "network" :

Code: [Sélectionner]

config interface 'loopback'
        option ifname 'lo'
        option proto 'static'
        option ipaddr '127.0.0.1'
        option netmask '255.0.0.0'

config globals 'globals'
        option ula_prefix 'fd95:4dc1:7368::/48'

config interface 'lan'
        option type 'bridge'
        option ifname 'eth0'
        option proto 'static'
        option ipaddr '192.168.1.1'
        option netmask '255.255.255.0'
        option ip6assign '60'

config interface 'wan'
        option proto 'dhcp'
        option peerdns '0'
        option broadcast '1'
        option vendorid 'sagem'
        option reqopts '0x01 0x03 0x06 0x0f 0x1c 0x33 0x3a 0x3b 0x5a 0x77 0x78 0x7d'
        option sendopts '0x3D:01zzZZzzZZzzZZ 0x4d:2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7833 0x5a:zzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzzz'
        option mtu '1500'
        option _orig_ifname 'eth1.832'
        option _orig_bridge 'false'
        option ifname 'eth1.832'

config interface 'wan6'
        option ifname 'eth1.832'
        option proto 'dhcpv6'
        option mtu '1500'
        option reqaddress 'try'
        option reqprefix 'auto'

config switch
        option name 'switch0'
        option reset '1'
        option enable_vlan '1'

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option vid '1'
        option ports '1t 2 3 5'

config switch_vlan
        option device 'switch0'
        option vlan '2'
        option ports '0 1t 5t'
        option vid '100'

config switch_vlan
        option device 'switch0'
        option vlan '3'
        option ports '4t 6t'
        option vid '832'

config interface 'DMZ'
        option proto 'static'
        option ifname 'eth0.100'
        option ipaddr '10.0.0.1'
        option netmask '255.255.255.0'

renaud07 · « **Réponse #199 le:** 16 avril 2018 à 02:39:04 »

J'ai eu aujourd’hui un soucis lié à l'ipv6 avec le BTHH5 si ça peut servir à d'autres :

Je dispose d'un DNS interne pour que mes noms de domaines répondent même quand je suis sur mon LAN (c'était pour contourner l'absence de loopback sur la LB).

J'ai eu besoin d'aller sur un de mes serveurs via mon smartphone android, et bizarrement j'avais droit à adresse introuvable, alors que ça fonctionnait bien sur les PC et par la 4G. J'ai débranché le câble LAN du routeur et hop c'est revenu... et il s'avère que tout ça était lié à l'attribution d'une ipv6 en plus de la v4 au smartphone, je suppose qu'il essayait de contacter le DNS par ipv6, sauf que... ce n'est pas configuré. J'ai donc désactivé l'ipv6 sur le routeur et tout est rentré dans l'ordre.

J'avoue que j'ai mis un moment à comprendre d'où ça venait.

ubune · « **Réponse #200 le:** 17 avril 2018 à 07:01:40 »

@farellion
Je comprends pas pourquoi il ignore le prefixe, hormis p-e un filtrage FW ?

Peux-tu nous envoyer ton /etc/config/firewall ?

As-tu bien la règle autorisant ce flux :

config rule
option name 'Allow-DHCPv6'
option src 'wan'
option proto 'udp'
option src_ip 'fc00::/6'
option dest_ip 'fc00::/6'
option dest_port '546'
option family 'ipv6'
option target 'ACCEPT'

renaud07 · « **Réponse #201 le:** 26 avril 2018 à 20:01:17 »

Pour ceux qui auraient vu passer mon message d'hier (supprimé depuis) j'ai finalement retenté la configuration du tunnel ipv6 et cette fois, ça a fonctionné du premier coup.

Je pense que problème venait de la ~~double activation Router Advertisement et DHCPv6~~ (EDIT : en fait c'est pas ça du tout, j'avais dû louper une commande la première fois), j'ai laissé uniquement le RA et là mes PC récupéraient à nouveau une ipv6 privée. J'ai ensuite passé les commandes données par HE (dans leur configurateur) et hop connecté immédiatement sans même rebooter le routeur

Bon par contre, c'est vraiment pas ça niveau latence et perte de paquets :

Code: [Sélectionner]

renaud@renaud-pc:~$ ping6 lafibre.info
PING lafibre.info(lafibre.info (2a01:6e00:10:410::2)) 56 data bytes
64 bytes from lafibre.info (2a01:6e00:10:410::2): icmp_seq=1 ttl=58 time=58.2 ms
64 bytes from lafibre.info (2a01:6e00:10:410::2): icmp_seq=2 ttl=58 time=58.9 ms
64 bytes from lafibre.info (2a01:6e00:10:410::2): icmp_seq=3 ttl=58 time=57.9 ms
64 bytes from lafibre.info (2a01:6e00:10:410::2): icmp_seq=4 ttl=58 time=64.6 ms
64 bytes from lafibre.info (2a01:6e00:10:410::2): icmp_seq=6 ttl=58 time=58.4 ms
64 bytes from lafibre.info (2a01:6e00:10:410::2): icmp_seq=8 ttl=58 time=95.3 ms
64 bytes from lafibre.info (2a01:6e00:10:410::2): icmp_seq=9 ttl=58 time=58.0 ms
64 bytes from lafibre.info (2a01:6e00:10:410::2): icmp_seq=10 ttl=58 time=63.0 ms
64 bytes from lafibre.info (2a01:6e00:10:410::2): icmp_seq=11 ttl=58 time=59.8 ms
64 bytes from lafibre.info (2a01:6e00:10:410::2): icmp_seq=12 ttl=58 time=58.0 ms
64 bytes from lafibre.info (2a01:6e00:10:410::2): icmp_seq=13 ttl=58 time=58.7 ms
64 bytes from lafibre.info (2a01:6e00:10:410::2): icmp_seq=14 ttl=58 time=57.5 ms
64 bytes from lafibre.info (2a01:6e00:10:410::2): icmp_seq=15 ttl=58 time=63.2 ms
64 bytes from lafibre.info (2a01:6e00:10:410::2): icmp_seq=16 ttl=58 time=57.4 ms
64 bytes from lafibre.info (2a01:6e00:10:410::2): icmp_seq=17 ttl=58 time=58.1 ms
^C
--- lafibre.info ping statistics ---
17 packets transmitted, 15 received, 11% packet loss, time 16043ms
rtt min/avg/max/mdev = 57.409/61.847/95.357/9.227 ms

Comparé à IPv4 :

Code: [Sélectionner]

renaud@renaud-pc:~$ ping4 lafibre.info
PING lafibre.info (46.227.16.8) 56(84) bytes of data.
64 bytes from lafibre.info (46.227.16.8): icmp_seq=1 ttl=55 time=30.6 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=2 ttl=55 time=30.2 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=3 ttl=55 time=30.5 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=4 ttl=55 time=30.1 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=5 ttl=55 time=30.1 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=6 ttl=55 time=30.5 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=7 ttl=55 time=30.1 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=8 ttl=55 time=29.8 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=9 ttl=55 time=29.8 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=10 ttl=55 time=30.1 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=11 ttl=55 time=30.4 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=12 ttl=55 time=30.6 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=13 ttl=55 time=30.1 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=14 ttl=55 time=30.5 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=15 ttl=55 time=30.3 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=16 ttl=55 time=30.2 ms
64 bytes from lafibre.info (46.227.16.8): icmp_seq=17 ttl=55 time=30.3 ms
^C
--- lafibre.info ping statistics ---
17 packets transmitted, 17 received, 0% packet loss, time 16023ms
rtt min/avg/max/mdev = 29.842/30.307/30.689/0.332 ms

zode94 · « **Réponse #202 le:** 24 mai 2018 à 00:22:03 »

Bonjour,

Actuellement chez Bouygues avec 1 seul VLAN ; le 100

Après avoir réussi la configuration sur mon WRT160NL je m'attaque au WRT3200ACM

Le souci est que je n'arrive pas à appliquer la même configuration que mon 160NL sur le 3200ACM

A priori un problème de VLAN je pense

Voici mon fichier network qui ne fonctionne pas

Code: [Sélectionner]

config interface 'lan'
	option type 'bridge'
	option ifname 'eth0'
	option proto 'static'
	option netmask '255.255.255.0'
	option ip6assign '60'
	option ipaddr '192.168.1.1'

config interface 'wan'
	option proto 'dhcp'
	option delegate '0'
	option ifname 'eth1.100'
	option vendorid 'BYGTELIAD'
	option macaddr 'xx:xx:xx:xx:xx:xx'
	option igmp_snooping "1"

config interface 'wan6'
	option ifname 'eth1'
	option proto 'dhcpv6'

config switch
	option name 'switch0'
	option reset '1'
	option enable_vlan '1'

config switch_vlan
	option device 'switch0'
	option vlan '1'
	option ports '0 1 2 3 5'

config switch_vlan
	option device 'switch0'
	option vlan '2'
	option ports '4 6'

Merci pour votre aide

kgersen · « **Réponse #203 le:** 24 mai 2018 à 00:50:34 »

tu n'a pas de 100 dans les "config switch_vlan".

le port 0 correspond a eth0.
ta config switch n'est pas bonne du tout.

pour que eth0.100 recoivent du flux il faut que le port 0 et le port WAN soit tag 100..

Code: [Sélectionner]

config switch_vlan
	option device 'switch0'
	option vlan '2'
	option ports '0t Xt'
        option vid '100'

X =1 en général ou autre suivant le modele du routeur (je ne sais pour le WRT3200ACM).

il faut que les autres interfaces soit groupées dans un seul vlan sans tag sauf pour eth0:

Code: [Sélectionner]

config switch_vlan
        option device 'switch0'
        option vlan '1'
        option vid '1'
        option ports '0t 2 3 4 5'

et enfin il faut que "eth0.1" soit utilisé dans la config 'lan' pas 'eth0'.

si tu as accès a LUCI (inteface web) ca sera plus facile à faire: