Auteur Sujet: Remplacement de la Livebox par un routeur Openwrt (Lu 395507 fois)

CyberTaf · « **Réponse #1176 le:** 31 mai 2025 à 13:09:23 »

Salut Ubune, merci de te pencher sur mon problème !

Citation de: ubune

Tu as vérifié si ce modele watchguard n'avait pas une accélération hardware qui n'est pas active avec openwrt ?

J'avoue que non. C'est un FW que j'ai récupéré, en plus l'OpenWRT n'est pas un build officiel mais un Addon.

Je viens de tester l'offload dans la config firewall, que ce soit en matériel ou logiciel je peux ping vers le wan mais je ne peux pas surfer. Pour que le surf revienne il faut que je le désactive.

Pour htop je ne peux pas l'installer pour le moment car j'ai le opkg update qui merde (ouais je sais j'ai la loose

), je suis en train de régler le problème. Si ça peut aider j'ai fait les captures directement dans l'overview de LuCI.

Puisque qu'il semble s'agir d'un problème de firewall, j'ai été relire le tuto de bob62 que j'avais suivi pour la mise en place de mon DD-WRT et voici ce qu'il dit au sujet des règles de firewall et de priorisation des VLAN.
Y aurait-il moyen de "traduire" ça sur l'openWRT, vu que sur mon DD-WRT ça ne fonctionne pas trop mal ?

Citer

### Interface physique WAN ($wanif)

eval $(nvram get rc_startup | grep "^wanif=")

### Priorite / CoS pour Internet (fait par l'option "Use VLAN Priority")

# File 0 (par defaut) pour le DHCP (en raw-socket), file 1 pour le reste du trafic
vconfig set_egress_map $wanif.832 0 6
vconfig set_egress_map $wanif.832 1 0

### On classe le trafic Internet dans les bonnes files (fait par l'option "Use VLAN Priority")

# Tout le trafic priorite 1 (CoS 0), SFE actif donc outgoing + incoming
iptables -t mangle -A POSTROUTING -o $wanif.832 -j MARK --set-mark 0x100000
ip6tables -t mangle -A POSTROUTING -o $wanif.832 -j MARK --set-mark 0x100000
iptables -t mangle -A PREROUTING -i $wanif.832 -j MARK --set-mark 0x100000
ip6tables -t mangle -A PREROUTING -i $wanif.832 -j MARK --set-mark 0x100000
iptables -t mangle -A POSTROUTING -m mark --mark 0x100000 -j CLASSIFY --set-class 0:1
ip6tables -t mangle -A POSTROUTING -m mark --mark 0x100000 -j CLASSIFY --set-class 0:1

# DHCP (en kernel-socket)
iptables -t mangle -A POSTROUTING -o $wanif.832 -p udp --dport 67 -j CLASSIFY --set-class 0:0
ip6tables -t mangle -A POSTROUTING -o $wanif.832 -p udp --dport 547 -j CLASSIFY --set-class 0:0

### On fixe le TOS des paquets, SFE actif donc outgoing + incoming (fait par l'option "Filter TOS/DSCP")

iptables -t mangle -A POSTROUTING -m mark --mark 0x100000 -j TOS --set-tos 0x00
ip6tables -t mangle -A POSTROUTING -m mark --mark 0x100000 -j TOS --set-tos 0x00

basilix · « **Réponse #1177 le:** 31 mai 2025 à 13:43:47 »

@CyberTaf :

Les deux sont des principes équivalents.

CyberTaf · « **Réponse #1178 le:** 31 mai 2025 à 15:28:10 »

Bon alors c'était peut-être pas forcément une bonne idée de remplacer mon Netgear WNDR3700 pour un Watchguard T30-W.
Je vais rester comme ça et voir si je trouve un routeur compatible DD-WRT (que je connais un peu mieux) avec de meilleures perfs.
Merci de m'avoir répondu en tout cas.

basilix · « **Réponse #1179 le:** 19 juin 2025 à 10:28:36 »

Citation de: simon le 03 avril 2025 à 09:14:43

Citation de: basilix
C'est plus simple pour moi de tout gérer en IPv6 (un ensemble de protocoles en moins à gérer).

+1. J'ai même pas de DHCPv4 et c'est un plaisir.

Citation de: basilix
intégrer des options DHCPv6 au serveur odhcpd.

Est-ce que la box attend une option spéciale dans la réponse à la requête DHCPv6 qu'elle fait sur le WAN? Ou est-ce qu'elle refuse simplement de fonctionner si pas de connectivité IPv4, et donc il faut lui fournir de quoi configurer son tunnel DS-Lite dans la réponse DHCP ?

Citation de: basilix
J'espère un peu que la téléphonie par IP fonctionnera sans dépendance à IPv4.

C'est le but à terme d'après LeVieux. Je ne suis pas sûr que ce soit déjà actif mais ca me semble facile à tester : fais un dump du trafic entre la box et internet lors d'un appel et tu seras fixé.

Je suis finalement parvenu à intégrer l'information d'authentification (options 90 et 11) et les options spécifiques au vendeur en DHCPv4 (option 125) et DHCPv6 (option 17) dans odhcpd.
Tout n'est pas encore au point, j'ai quelques problèmes de connexion réseau en local. Il faudrait que je recherche d’où cela pourrait provenir. Il me manque aussi les tests à réaliser pour
mon implémentation de l'option spécifique au vendeur.

La Livebox refuse simplement de fonctionner sans connectivité IPv4 : les LEDs clignotent en blanc. Pour la téléphonie, les requêtes SIP se font uniquement en DHCPv4. Sinon, il me
semble qu'on peut se passer de l'option 125 si l'on envoie l'option 17 (mais il faudrait que je vérifie).

Un petit bémol pour le NAT64 + DNS64. Lors de mes précédents tests j'avais remarqué que Jool n'était pas proprement intégré à OpenWrt.

Je suis vraiment trop content que cela fonctionne.

basilix · « **Réponse #1180 le:** 22 juin 2025 à 08:49:45 »

Citation de: ubune le 02 avril 2025 à 10:14:34

Pas de souci pour mettre à jour le tuto. Après, pour être sûr que ce soit une amélioration, il faut qu’il y ait soit un "vrai" gain de performance, soit une simplification de la configuration/déploiement.

Citation de: basilix le 03 avril 2025 à 07:28:52

En conséquence, je prévoyais de créer deux feeds : livebox-feed et custom-feed. Le livebox-feed contiendrait des correctifs des sources de programmes. Le
custom-feed serait un feed expérimental visant à automatiser et personnaliser une image OpenWrt. Plus besoin de copier des fichiers de configuration ou de lire le
tutoriel. Ce sera potentiellement plug & play. À mon avis, cela simplifiera considérablement la tâche des débutants souhaitant remplacer leur Livebox par OpenWrt.

J'ai refait le point.

Le concept de paquet est central dans OpenWrt. Pour améliorer la configuration, on peut créer un feed. Cela permettrait une mise à niveau de nftables en version
1.1.3. On peut construire le paquet par compilation en utilisant le SDK OpenWrt. L'avantage de cette approche est qu'elle est moins risquée que Buildroot. On peut
intégrer le paquet .ipk ou (.apk pour la future version) dans le système soit avec Image Builder ou en le transférant directement par SSH sur le routeur.

Le principe est simple. Changer des paramètres de configuration.

Pour du plug & play, il faut changer d'interface et de niveau. Par exemple, le SDK de Teltonika Networks est une version personnalisée de OpenWrt Buildroot. Les
micrologiciels commerciaux basés sur OpenWrt disposent de leur propre interface Web. On peut citer RutOS (Teltonika Networks), GL.iNet et Turris Omnia.

Il y a plusieurs choses à connaître et c'est assez technique. On peut opter pour l'approche la plus simple : réécrire les règles du pare-feu et mettre à niveau vers
la version 1.1.3.

Le code source suivant n'est pas forcément correctement formaté.

/etc/custom-arp-table.nft

table arp filter flush table arp filter table arp filter { chain output { type filter hook output priority filter; policy accept; oifname "eth1.832" meta priority set 0:6 counter } }

/etc/custom-postrouting-chain.nft

oifname "eth1.832" icmpv6 type { 133, 135, 136 } meta priority set 0:6 ip6 dscp set cs6 counter

/etc/custom-netdev-table.nft

table netdev filter flush table netdev filter table netdev filter { chain egress { type filter hook egress device eth1 priority filter; policy accept; vlan id 832 udp dport 547 vlan pcp set 6 ip6 dscp set cs6 comment "Set QoS values for DHCPv6 packets" vlan id 832 udp dport 67 vlan pcp set 6 ip dscp set cs6 comment "Set QoS values for DHCPv4 packets" } }

Je n'ai pas vérifié si les règles de la table netdev sont fonctionnelles, je n'ai pas encore contrôlé avec une capture réseau.

Si vous tester le code source suivant, il faut le reformater (remplacer les espaces par une tabulation).

Shell

# Specify packet priority for packets forwarded to ISP. uci -q batch <<-EOF add firewall include set firewall.@include[-1].enabled='1' set firewall.@include[-1].type='nftables' set firewall.@include[-1].path='/etc/custom-postrouting-chain.nft' set firewall.@include[-1].chain='mangle_postrouting' set firewall.@include[-1].position='chain-append' EOF uci -q batch <<-EOF add firewall include set firewall.@include[-1].enabled='1' set firewall.@include[-1].type='nftables' set firewall.@include[-1].path='/etc/custom-arp-table.nft' set firewall.@include[-1].position='ruleset-post' EOF uci -q batch <<-EOF add firewall include set firewall.@include[-1].enabled='1' set firewall.@include[-1].type='nftables' set firewall.@include[-1].path='/etc/custom-netdev-table.nft' set firewall.@include[-1].position='ruleset-post' EOF

Shell

uci -q batch <<-EOF add network device set network.@device[-1].type='8021q' set network.@device[-1].ifname='eth1' set network.@device[-1].vid='832' set network.@device[-1].name='eth1.832' set network.@device[-1].egress_qos_mapping='6:6' EOF

Mise à niveau de libnftnl (dépendance)

diff --git a/package/libs/libnftnl/Makefile b/package/libs/libnftnl/Makefile index f06b223993..0fced5bbd7 100644 --- a/package/libs/libnftnl/Makefile +++ b/package/libs/libnftnl/Makefile @@ -9,12 +9,12 @@ include $(TOPDIR)/rules.mk PKG_NAME:=libnftnl PKG_CPE_ID:=cpe:/a:netfilter:libnftnl -PKG_VERSION:=1.2.8 +PKG_VERSION:=1.2.9 PKG_RELEASE:=1 PKG_SOURCE:=$(PKG_NAME)-$(PKG_VERSION).tar.xz PKG_SOURCE_URL:=https://netfilter.org/projects/$(PKG_NAME)/files -PKG_HASH:=37fea5d6b5c9b08de7920d298de3cdc942e7ae64b1a3e8b880b2d390ae67ad95 +PKG_HASH:=e8c216255e129f26270639fee7775265665a31b11aa920253c3e5d5d62dfc4b8

Mise à niveau de nftables

diff --git a/package/network/utils/nftables/Makefile b/package/network/utils/nftables/Makefile index 06b3fcfcda..f2f7e5f12f 100644 --- a/package/network/utils/nftables/Makefile +++ b/package/network/utils/nftables/Makefile @@ -6,12 +6,12 @@ include $(TOPDIR)/rules.mk PKG_NAME:=nftables -PKG_VERSION:=1.1.1 +PKG_VERSION:=1.1.3 PKG_RELEASE:=1 PKG_SOURCE:=$(PKG_NAME)-$(PKG_VERSION).tar.xz PKG_SOURCE_URL:=https://netfilter.org/projects/$(PKG_NAME)/files -PKG_HASH:=6358830f3a64f31e39b0ad421d7dadcd240b72343ded48d8ef13b8faf204865a +PKG_HASH:=9c8a64b59c90b0825e540a9b8fcb9d2d942c636f81ba50199f068fde44f34ed8 PKG_MAINTAINER:= PKG_LICENSE:=GPL-2.0

J'ai modifié directement les informations dans les sources de mon arborescence OpenWrt Buildroot. L'idée serait de créer un feed.

custom-feed/ ├── libs │ ├── libnftnl │ │ └── Makefile │ └── libubox │ └── Makefile └── network ├── services │ └── odhcpd │ ├── files │ │ ├── odhcpd.defaults │ │ ├── odhcpd.init │ │ └── odhcpd-update │ └── Makefile └── utils └── nftables └── Makefile

basilix · « **Réponse #1181 le:** 23 juin 2025 à 13:44:25 »

Re :

Mettre à niveau nftables n'est peut-être pas une bonne idée. Car c'est un paquet de base.

Je suis trop habitué à accéder à mon routeur en connexion série. Et il n'y a aucun risque
de le verrouiller.

Finalement, il y a plein de choses que je ne saisis pas.

basilix · « **Réponse #1182 le:** 28 juin 2025 à 06:22:37 »

À Lire « Is the firewall broken when an invalid rule is included? ».

beufa59 · « **Réponse #1183 le:** 13 juillet 2025 à 00:20:15 »

Citation de: ubune le 04 avril 2019 à 13:41:53

@Greener77176
Puisque l'ubiquiti n'a qu'un seul ETH, Tu ne peux avoir la livebox directement derrière, tu es obligé d'utiliser un switch gérant les vlan pour créer ton 2em vlan 832 jusqu'a la livebox.
Exemple :
Sur openwrt tu crées un vlan livebox id 199
Tu crées l'interface tel en eth0.199
Tu configures un port en pvid (vlan untagged) 199
Tu branches ce port sur ton switch qui gère les vlans.
Sur ce switch, tu configures ce port en pvid 832
Tu connectes la livebox sur le switch, sur un port avec le vlan 832 tagged autorisé.

Sans XP sur les vlans c'est pas simple à comprendre.

@f59
Tu as toujours le problème ?

Hello j'ai tenté la méthode avec un GS105E, mais je n'arrive toujours pas à récupérer le téléphone.

La config network openwrt :

Code: [Sélectionner]

config interface 'lan_livebox'
	option proto 'static'
	option ipaddr '192.168.9.1'
	option netmask '255.255.255.0'
	option mtu '1500'
        option defaultroute '0'
	option igmp_snooping '1'
	option device 'lan1.9'

config device
	option name 'lan1.9'
	option type '8021q'
	option ifname 'lan1'
	option vid '9'

La config DHCP (j'ai testé différentes options 90/125)

Code: [Sélectionner]

config dhcp 'lan_livebox'
	option dhcpv4 'server'
	option interface 'lan_livebox'
	option dhcpv4_forcereconf '0'
	option leasetime '1h'
	option start '10'
	option limit '20'
	option logdhcp '1'
	list dhcp_option '6,81.253.149.14,80.10.246.7'
	list dhcp_option '15,orange.fr'
#	list dhcp_option '90,00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0D:66:74:69:2F:36:7A:61:76:70:34:72:3c:12:31:32:33:34:35:36:37:38:39:30:31:32:33:34:35:36:03:13:41:fd:59:65:3e:fc:d4:7c:e0:0a:26:9e:dd:64:0d:68:08'
	list dhcp_option '90,00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0D:66:74:69:2F:36:7A:61:76:70:34:72:3c:12:31:32:33:34:35:36:37:38:39:30:31:32:33:34:35:36:03:13:41:09:74:61:bc:64:c9:75:12:b2:7e:a2:43:7e:a3:eb:3b'
	list dhcp_option_force '120,00:06:73:62:63:74:33:67:03:4e:49:43:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00'
#	list dhcp_option '125,00:00:0d:e9:24:04:06:36:38:33:46:37:44:05:0f:41:4e:32:31:31:36:32:31:31:31:32:34:34:34:39:06:09:4c:69:76:65:62:6f:78:20:34'
	list dhcp_option '125,00:00:0D:E9:28:04:06:36:38:33:46:37:44:05:0F:41:4E:32:31:31:36:32:31:31:31:32:34:34:34:39:06:0D:4C:69:76:65:62:6F:78:20:46:69:62:72:65'
	list dhcp_option '119,LIL.access.orange-multimedia.net'

config host
	option name 'livebox-gw'
	option dns '1'
	option mac '68:3f:7d:54:df:70'
	option ip '192.168.9.2'

Le switch GS105 est connecté comme suit :

VLAN 832 tagged + VLAN 1 untagged sur le port 2 cablé sur la livebox WAN
VLAN 832 PVID sur le port 1 vers mon switch unifi
VLAN 9 en untagged sur mon switch unifi
VLAN 9 en tagged vers mon routeur openwrt.

Je vois les requêtes DHCP request / reply de mon dnsmasq sur l'openwrt, mais la box affiche toujours internet / téléphone KO.

Je ne sais pas trop ou chercher sachant que mon openwrt 23.05 fonctionne à merveille avec la TV depuis plusieurs mois / années déja, mais je voudrais vraiment récupérer la partie TEL avec la livebox branchée derrière l'openwrt, pas question de revenir en arrière juste pour un satanée téléphone

En particulier je ne comprends pas à quoi correspond l'option DHCP 120.

Merci d'avance pour votre aide et encore merci pour le temps passé à détailler les tutos !!!

Zilao · « **Réponse #1184 le:** 23 juillet 2025 à 15:12:56 »

Bonjour, je suis nouveau sur le forum et je me suis lancé dans le remplacent de ma Livebox 5. Après une lutte acharné pour obtenir un ONT et mes Identifiants FTI, j'ai tout pour me lancer. J'ai des connaissances en informatique et des bases en réseau, mais là, je suis dépassé.

Avant tout, mon matériel :
- ONT : Huawei - EchoLife HG8010H GPON Terminal
- Livebox : 5
- Routeur : Asus RT-AX89X (Ver : B1) avec OpenWRT 24.10.2 (Pas possibilité d'être en 23.x.x car c'est la première release d'OpenWRT sur ce routeur)
+ Une Offre fibre Orange 500Mb/s (Up & Down)

J'ai parcouru le Thread, mais j'ai toujours quelques questions et incompréhensions. J'ai déjà fait des tests et ça ne marche pas super. Certains sites ne chargent pas (comme : ipv6-test.com ou Github) également, mon débit est passé de 500Mb/s (Up & Down) avec la Livebox à 260Mb/s Down et 4.5Mb/s Up avec le routeur OpenWRT. Les questions sont les suivantes :
(À la fin, je vous fournis mes fichiers modifiés avec annotations.)

1- Entre le Poste en page 1 et le Github, lequel est le plus à jour ? Aussi, il y a des différences de fichiers entre les deux (je ne sais quoi suivre.).

2- J'ai modifié la partie lan de /etc/config/network car mes ports ethernet se nome "lan" et non "eth" (exemple lan3 et non eth3) mais j'ai peur que ça impacte la configuration à d'autres endroits.

3- Mon wan se nomme pas "eth0" ou "eth1" mais "wan", je l'ai donc renommer en conséquence, mais pour ce qui est de "eth0.832", je le laisse comme ça ou je le nomme "wan.832" (c'est juste un nom ou ça a une importance) ?

4- Mon interface wan ipv4 se nomme "wan" et non "wan4" c'est normal ? (Je pense que je ne comprends pas cette partie entre les fichiers networt et firewall).

5- Dans /etc/config/firewall à la fin il y a une option "en mode freebox" est-elle indispensable et ne peut elle pas créé des problèmes ?

6- Ma Livebox est une 5, et non une 4 ou une 6 comme c'est noter dans les fichiers de configuration (/etc/config/network), à la ligne : "option sendopts '...livebox.Internet.softathome.Livebox6...'" je laisse Livebox6 ou je mets Livebox5 ? (Lors de mes précédents teste, j'ai mis Livebox5 mais je ne sais pas si c'est un problème ?)

7- Mes problèmes d'accès a certaines pages et mon débit sont en lien avec des erreurs dans ma configuration ?

Merci à vous pour les retours et si je dois faire un nouveau poste, je comprends.

basilix · « **Réponse #1185 le:** 23 juillet 2025 à 17:50:29 »

@Zilao:

Que renvoie la commande suivante ?

ubus call system board

Si tu ne comprends pas le tutoriel, pas sûr que ce soit une bonne idée de remplacer la Livebox.

Remplacer la Livebox peut être relativement dangereux à mon avis. En sécurité, c'est le jeu du chat et de la souris.