Auteur Sujet: Remplacement de la Livebox par un routeur Openwrt (Lu 251224 fois)

akeix · « **Réponse #612 le:** 19 septembre 2022 à 10:56:49 »

Bonjour,

J'ai remplacé mon Netgear WNRD3800 par un un mini PC Lenovo m720q avec une carte ethernet 4 ports à base e realtek 8125B.
J'ai un LEOX LTX-010G-H.

J'ai installé la version OpenWRT 22.03 officielle et je l'ai configuré en suivant le tutoriel de la 1ere page.
J'ai lancé un test de débit sur le web (nperf).
J'obtiens :

Downlod : 937MBits/s
Upload : 4,1MB/s

Mon offre est l'Orange Up (2GBit/s et 600MBit/s).
Avec la livebox, je suis bien autour des 600MBit/s.

Pouvez-vous m'aider ?
Merci d'avance.

J'ai exécuté quelques commandes :

tcpdump -nei "eth4" port 53

Code: [Sélectionner]

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth4, link-type EN10MB (Ethernet), capture size 262144 bytes
10:34:10.127214 1c:fd:08:74:74:8f > a4:7b:2c:31:93:82, ethertype 802.1Q (0x8100), length 83: vlan 832, p 6, ethertype IPv4, 86.196.132.242.64313 > 8.8.8.8.53: 16247+ A? BRN3C2AF485549A.lan. (37)
10:34:10.135896 a4:7b:2c:31:93:82 > 1c:fd:08:74:74:8f, ethertype 802.1Q (0x8100), length 158: vlan 832, p 0, ethertype IPv4, 8.8.8.8.53 > 86.196.132.242.64313: 16247 NXDomain 0/1/0 (112)

10:34:27.455181 1c:fd:08:74:74:8f > a4:7b:2c:31:93:82, ethertype 802.1Q (0x8100), length 83: vlan 832, p 6, ethertype IPv4, 86.196.132.242.60514 > 8.8.8.8.53: 10448+ A? BRN3C2AF485549A.lan. (37)
10:34:27.464887 a4:7b:2c:31:93:82 > 1c:fd:08:74:74:8f, ethertype 802.1Q (0x8100), length 158: vlan 832, p 0, ethertype IPv4, 8.8.8.8.53 > 86.196.132.242.60514: 10448 NXDomain 0/1/0 (112)
10:34:40.681382 1c:fd:08:74:74:8f > a4:7b:2c:31:93:82, ethertype 802.1Q (0x8100), length 90: vlan 832, p 6, ethertype IPv4, 86.196.132.242.56821 > 8.8.8.8.53: 47204+ A? fe2cr.update.microsoft.com. (44)
10:34:40.681607 1c:fd:08:74:74:8f > a4:7b:2c:31:93:82, ethertype 802.1Q (0x8100), length 90: vlan 832, p 6, ethertype IPv4, 86.196.132.242.50923 > 8.8.8.8.53: 15063+ AAAA? fe2cr.update.microsoft.com. (44)
10:34:40.687831 a4:7b:2c:31:93:82 > 1c:fd:08:74:74:8f, ethertype 802.1Q (0x8100), length 176: vlan 832, p 0, ethertype IPv4, 8.8.8.8.53 > 86.196.132.242.56821: 47204 3/0/0 CNAME fe2cr.update.msft.com.trafficmanager.net., A 20.83.81.165, A

La priorité alterne entre 0 et 6 !

ethtool eth4

Code: [Sélectionner]

Settings for eth4:
        Supported ports: [ TP ]
        Supported link modes:   10baseT/Half 10baseT/Full
                                100baseT/Half 100baseT/Full
                                1000baseT/Full
                                2500baseT/Full
        Supported pause frame use: Symmetric Receive-only
        Supports auto-negotiation: Yes
        Supported FEC modes: Not reported
        Advertised link modes:  10baseT/Half 10baseT/Full
                                100baseT/Half 100baseT/Full
                                1000baseT/Full
        Advertised pause frame use: No
        Advertised auto-negotiation: Yes
        Advertised FEC modes: Not reported
        Link partner advertised link modes:  10baseT/Half 10baseT/Full
                                             100baseT/Half 100baseT/Full
                                             1000baseT/Full
        Link partner advertised pause frame use: No
        Link partner advertised auto-negotiation: Yes
        Link partner advertised FEC modes: Not reported
        Speed: 1000Mb/s
        Duplex: Full
        Auto-negotiation: on
        Port: Twisted Pair
        PHYAD: 0
        Transceiver: internal
        MDI-X: Unknown
        Supports Wake-on: pumbg
        Wake-on: g
        Current message level: 0x00000033 (51)
                               drv probe ifdown ifup
        Link detected: yes

Je suis bien en 1Gbit/s full duplex.

ethtool -S eth4

Code: [Sélectionner]

     tx_packets: 559821
     rx_packets: 4669350
     tx_errors: 0
     rx_errors: 0
     rx_missed: 0
     align_errors: 0
     tx_single_collisions: 0
     tx_multi_collisions: 0
     unicast: 4669211
     broadcast: 2
     multicast: 137
     tx_aborted: 0
     tx_underrun: 0
     tx_octets: 113631417
     rx_octets: 7034742788
     rx_multicast64: 0
     tx_unicast64: 559802
     tx_broadcast64: 3
     tx_multicast64: 16
     tx_pause_on: 0
     tx_pause_off: 0
     tx_pause_all: 0
     tx_deferred: 0
     tx_late_collision: 0
     tx_all_collision: 0
     tx_aborted32: 0
     align_errors32: 0
     rx_frame_too_long: 0
     rx_runt: 0
     rx_pause_on: 0
     rx_pause_off: 0
     rx_pause_all: 0
     rx_unknown_opcode: 0
     rx_mac_error: 0
     tx_underrun32: 0
     rx_mac_missed: 1
     rx_tcam_dropped: 0
     tdu: 0
     rdu: 0

iperf3 -c bouygues.iperf.fr -p 9201 -P 1 -4

Code: [Sélectionner]

[  5] local 86.196.132.242 port 42004 connected to 89.84.1.186 port 9201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec   772 KBytes  6.32 Mbits/sec    0   56.6 KBytes
[  5]   1.00-2.00   sec   669 KBytes  5.48 Mbits/sec    0   84.8 KBytes
[  5]   2.00-3.00   sec   669 KBytes  5.48 Mbits/sec    0    113 KBytes
[  5]   3.00-4.00   sec   851 KBytes  6.97 Mbits/sec    0    141 KBytes
[  5]   4.00-5.00   sec   730 KBytes  5.98 Mbits/sec    0    171 KBytes
[  5]   5.00-6.00   sec   365 KBytes  2.99 Mbits/sec    0    199 KBytes
[  5]   6.00-7.00   sec   912 KBytes  7.47 Mbits/sec    0    228 KBytes
[  5]   7.00-8.00   sec   486 KBytes  3.98 Mbits/sec    0    272 KBytes
[  5]   8.00-9.00   sec  1.19 MBytes  9.97 Mbits/sec    0    362 KBytes
[  5]   9.00-10.00  sec   851 KBytes  6.97 Mbits/sec    0    477 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  7.35 MBytes  6.16 Mbits/sec    0             sender
[  5]   0.00-10.87  sec  5.97 MBytes  4.60 Mbits/sec                  receiver

iperf3 -c bouygues.iperf.fr -p 9201 -P 1 -6

Code: [Sélectionner]

[  5] local 2a01:cb00:8173:8300::1 port 42738 connected to 2001:860:de01:1100::2 port 9201
[ ID] Interval           Transfer     Bitrate         Retr  Cwnd
[  5]   0.00-1.00   sec   774 KBytes  6.34 Mbits/sec    0   55.8 KBytes
[  5]   1.00-2.00   sec   675 KBytes  5.53 Mbits/sec    0   83.7 KBytes
[  5]   2.00-3.00   sec   675 KBytes  5.53 Mbits/sec    0    112 KBytes
[  5]   3.00-4.00   sec   552 KBytes  4.52 Mbits/sec    0    139 KBytes
[  5]   4.00-5.00   sec   675 KBytes  5.53 Mbits/sec    0    169 KBytes
[  5]   5.00-6.00   sec   798 KBytes  6.53 Mbits/sec    0    197 KBytes
[  5]   6.00-7.00   sec   920 KBytes  7.54 Mbits/sec    0    225 KBytes
[  5]   7.00-8.00   sec   491 KBytes  4.02 Mbits/sec    0    268 KBytes

[  5]   8.00-9.00   sec  1.32 MBytes  11.1 Mbits/sec    0    357 KBytes
[  5]   9.00-10.00  sec   920 KBytes  7.54 Mbits/sec    0    470 KBytes
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bitrate         Retr
[  5]   0.00-10.00  sec  7.65 MBytes  6.41 Mbits/sec    0             sender
[  5]   0.00-10.87  sec  5.89 MBytes  4.54 Mbits/sec                  receiver

ubune · « **Réponse #613 le:** 19 septembre 2022 à 11:13:16 »

Hello,
Elle n'alterne pas la priorité, elle est toujours à 6 dans le sens chez toi > distant.

Vérifie tes règles nft, faut que je maj le tuto d'ailleurs mtn qu'on peut le faire directement depuis le /etc/config/firewall

Code: [Sélectionner]

nft list ruleset | grep "set 0:" | wc -ldoit te donner > 0 si tes règles sont chargées

ubune · « **Réponse #614 le:** 19 septembre 2022 à 11:14:27 »

Tu peux faire comme le présente Naouel (remplace eth0.832 par eth4.832 dans tons cas) :

Citation de: naouel le 19 août 2022 à 01:42:35

A partir d'OpenWrt 22.03-rc5 c'est possible de passer les règles nft par des include à la place de les charger dans /etc/rc.local :

Ajouter le fichier /etc/nftables.d/orange_rules.include qui contient
Code: [Sélectionner]
oifname "eth0.832" counter meta priority set 0:1 oifname "eth0.832" ip protocol icmp counter meta priority set 0:6 oifname "eth0.832" ip protocol igmp counter meta priority set 0:6 oifname "eth0.832" udp dport 67 counter meta priority set 0:6 oifname "eth0.832" udp dport 547 counter meta priority set 0:6 oifname "eth0.832" ip protocol icmpv6 counter meta priority set 0:6
Ajouter une section dans /etc/config/firewall
Code: [Sélectionner]
config include 'orange_rules' option enabled '1' option type 'nftables' option path '/etc/nftables.d/orange_rules.include' option position 'chain-append' option chain 'mangle_postrouting'

akeix · « **Réponse #615 le:** 19 septembre 2022 à 11:58:31 »

Il y a truc bizzard.

Quand je mets la fibre au cul de la livebox, j'ai bien les 600Mbit/s. Jusqu'ici c'est normal !
Par contre, quand je mets le LEOX (donc port 4 de livebox), j'obtiens 2 à 5MBit/s en upload ! Et pourtant j'ai bien 900Mbit/s en download !

La commande nft list ruleset | grep "set 0:" | wc -l me donne 0

J'ai fait l'histoire de l'include. Maintenant la commande nft list ruleset | grep "set 0:" | wc -l me donne 12

Maintenant, l'upload est inférieur à 1MBit/s

ubune · « **Réponse #616 le:** 19 septembre 2022 à 13:20:08 »

Si tu as le problème avec la Livebox + Leox il va falloir investiguer différemment.
Ca me fait penser à ce post de V3yz, peux-tu, dans le doute, demarrer l'ont et attendre quelques minutes avant de brancher la box ?

Citation de: V3yz le 27 août 2022 à 10:31:52

Bonjour,
Comme je n'utilise pas de connexion la nuit, j'ai mis mon installation sur prise connectée avec allumage et extinction automatiques.
Je me suis rendu compte qu'en allumant tout au même moment, je me retrouvais avec un upload à 5 Mb/s au lieu d'avoir 300 Mb/s.
Quand le routeur s'allume, il faut donc dans mon cas que l'ONT soit pleinement actif sinon j'ai ce genre d'erreurs.

Sinon depuis l'interface web/cli de l'ont, tu as moyen de récupérer des logs ?

akeix · « **Réponse #617 le:** 19 septembre 2022 à 13:54:32 »

J'ai attendu quelques minutes (3 à 5) et c'est pareil.
Et j'ai pas vu de log dans le LEOX.

renaud07 · « **Réponse #618 le:** 20 septembre 2022 à 13:58:41 »

Dites, la délégation de préfixe fonctionne sur le LAN ? Je voulais me faire un 2nd réseau sur un pfsense, mais y veut rien me donner, j'ai droit invariablement à : Status Code: NoPrefixAvail (6)

Après avoir lu la doc, il semblerait qu'il faille mettre la valeur ip6assign plus petit que /64. J'ai donc essayé /60 voir le /56 entier... toujours rien. J'ai également rajouté dans le doute la ligne : option dhcpv6_pd '1'

Citer

Setting the ip6assign-parameter to a value < 64 will allow the DHCPv6-server to hand out all but the first /64 via DHCPv6-Prefix Delegation to downstream routers on the interface.

Ma conf :

Code: [Sélectionner]

config dhcp 'lan'
	option interface 'lan'
	option ignore '1'
	option ra 'server'
	option dhcpv6 'server'
	option dhcpv6_pd '1'
	list domain 'lpa.lan'
	list dns 'fd63:13cf:cda4:0:ba27:xxx:xxx:xxx'
	option ra_management '1'

ubune · « **Réponse #619 le:** 20 septembre 2022 à 14:43:40 »

Citation de: renaud07 le 20 septembre 2022 à 13:58:41

Dites, la délégation de préfixe fonctionne sur le LAN ? Je voulais me faire un 2nd réseau sur un pfsense, mais y veut rien me donner, j'ai droit invariablement à : Status Code: NoPrefixAvail (6)

Après avoir lu la doc, il semblerait qu'il faille mettre la valeur ip6assign plus petit que /64. J'ai donc essayé /60 voir le /56 entier... toujours rien. J'ai également rajouté dans le doute la ligne : option dhcpv6_pd '1'
Ma conf :
Code: [Sélectionner]
config dhcp 'lan' option interface 'lan' option ignore '1' option ra 'server' option dhcpv6 'server' option dhcpv6_pd '1' list domain 'lpa.lan' list dns 'fd63:13cf:cda4:0:ba27:xxx:xxx:xxx' option ra_management '1'

Que souhaites-tu faire ?

Si c'est juste présenter un /64 par interface lan, c'est pas du PD à faire coté LAN.

PD c'est juste sur le wan pour récupérer le /56.

Regarde ma conf, j'ai 7 vlans avec chacuns un /64, très simple, pas de dhcpv6 (et donc pas de flags ra) que du slaac :
Openwrt va utiliser automatiquement les /64 dispo du /56, mais tu peux le spécifier si tu préfères.

Code: [Sélectionner]

config dhcp 'vlanX'
	option interface 'lanX'
	option start '100'
	option limit '59'
	option leasetime '12h'
	option dhcpv4 'server'
	option ra 'server'
	list ra_flags 'none'
	list dns '2606:4700:4700::1111'

Coté Network :

Code: [Sélectionner]

config interface 'lanX'
	option proto 'static'
	option ipaddr '192.168.X.1'
	option netmask '255.255.255.0'
	option ip6assign '64'
	option ip6ifaceid '::bad'
	option device 'eth1.X'

renaud07 · « **Réponse #620 le:** 20 septembre 2022 à 15:49:33 »

Ah ok, mais ça c'est si les VLAN sont sur le routeur.

Ce que je cherche faire c'est déléguer un /64 à un pfsense qui est sur le LAN afin d'avoir une plage dédiée pour mes VM. Donc dans ce cas je suis bien obligé de faire du PD, non ?

ubune · « **Réponse #621 le:** 20 septembre 2022 à 15:59:14 »

Citation de: renaud07 le 20 septembre 2022 à 15:49:33

Ah ok, mais ça c'est si les VLAN sont sur le routeur.

Ce que je cherche faire c'est déléguer un /64 à un pfsense qui est sur le LAN afin d'avoir une plage dédiée pour mes VM. Donc dans ce cas je suis bien obligé de faire du PD, non ?

Ok je comprends mieux, non pas de PD "obligatoire".

Si c'est uniquement pour un seul /64, rien ne t'empêche de configurer une ipv6 du /64 attribué (de ton choix) au lan pfsense sur l'interface Lan Pfsense, sans PD, diffuser les RA en conséquence sur le lan pfsense.

Et de faire une route static sur openwrt ::/64 "lan-pfsense" vers "ipv6-wan-pfsense"

renaud07 · « **Réponse #622 le:** 20 septembre 2022 à 16:05:55 »

Merci.

C'est vrai que je pourrais le faire à la main, mais j'aimerais bien arriver à faire fonctionner le PD.

Je vais quand même voir si j'y arrive à la mano au cas où.

EDIT : Ça à l'air mal parti, le pfsense me bombarde le réseau de NS malgré l'IP attribuée et je n'ai pas accès au net... J'ai l'impression qu'il y a des bugs sur l'ipv6 sur les dernières versions. Je vais ouvrir mon propre sujet du coup.

EDIT2 : à priori il y a une incompatibilité entre freeBSD et certains bridges virtuels (j'ai aussi vu le cas sur hyper-v ou KVM après recherche). Le message d'erreur fait référence à DAD (Duplicate Address Detection)

Citer

a looped back NS message is detected during DAD for [IPv6 ADDRESS REDACTED]. Another DAD probes are being sent.

Il faut donc désactiver la fonction dans sysctl : net.inet6.ip6.dad_count=0 (à rensigner via l'interface web : System > Advanced > System Tunables)

renaud07 · « **Réponse #623 le:** 20 septembre 2022 à 23:48:57 »

Finalement ça fonctionne : il suffisait de rebooter (un network restart n'était pas suffisant)

Par contre, c'est normal que ça délègue un /62 et pas /64 ? J'ai essayé de trouver des infos, mais c'est pas très clair... J'ai aussi remarqué qu'on ne peut pas demander autre chose, par ex j'indique que je veux un /60, c'est toujours un /62 qui est renvoyé. (J'ai bien évidemment mis le ip6assign à /56)

EDIT : J'ai rien dit : j'avais oublié de cocher la case Send IPv6 prefix hint dans les options. Et cette fois j'ai bien un /64 ou un /60