Peut etre le meme probleme qu'ici :
https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/msg947187/#msg947187

génère ou récupère une option DHCP 90 valide.

il faudrait demander au gars qui fait le snapshot pour le ax3600, d'avoir l'amabilité de compiler une version avec iptables.
il existe un frontend en ligne qui de permet créer facilement sa propre image avec les paquets de son choix ici : https://chef.libremesh.org/
malheureusement l'ax3600 n'est pas encore supporté, meme en snapshot, il faudra encore attendre pour pouvoir le faire.

nft add rule inet fw4 mangle_postrouting oifname "eth1.832" udp dport 67 counter meta priority set 0:6

ca ne correspond pas à ton image écran sur Luci : eth0.832 ? normal ?

Sinon as tu essayé, comme je l'indiquais ici, le paquet iptables-nft. Qui, si j'ai bien compris, permettrai de rendre compatibles les scripts iptables avec nft. Donc l'utilisation d'une commande iptables serait automatiquement interpretée comme une commande nftable.

EDIT:
autre point à noter.
dans /etc/config/firewall avec fw4 (nftables)
le paramètre include :
config include
        option path '/etc/firewall.user'n'est plus exécuté !
Donc si tu as mis tes regles nft dans le fichier firewall.user, cela explique peut etre pourquoi ca ne marche pas.
essaie de les executer manuellement dans putty pour voir si tu obtiens une ip après exécution ?
ou bien integre les lignes a la fin du vlanprio.sh ?

J'ai bien rendu le script firewall.user exécutable et je l'ai lancé a la main mais pas mieux.

il me semble qu'il y a un ordre a respecter. le vlanprio.sh doit etre executé après le firewall. Si tu n'as pas déjà testé ?
donc
/etc/init.d/firewall restart
./firewall.user.sh
./vlanprio.sh

J'ai trouvé un topic sur stackexchange avec quelqu'un qui fait du nft sous debian et pour qui ça semble fonctionner.
https://unix.stackexchange.com/questions/479796/packet-meta-class-applied-but-captured-vlan-priority-is-wrong

alors ca, ca ne concerne pas nftables, ce serait plutot pour la partie qui se trouve dans le vlanprio.sh
mais dans openwrt il n'y a pas de commande up ou de pre-up

Hello, merci, je confirme que ça fonctionne, je te répond depuis ma connexion wifi sur mon AX3600.

Merci beaucoup, c'était bien l'ordre qui posait problème apparemment.

Je vais voir pour intégrer tout ça correctement dans un script commun.

Pour ce qui est des règles NFTables (FW4) je confirme qu'elle fonctionnent, résultat sans les règles:

Avec:


Je met les règles ici si ça peux servir :


root@OpenWrt:~# nft list ruleset
[...]
        chain mangle_postrouting {
                type filter hook postrouting priority mangle; policy accept;
                counter packets 693553 bytes 1124288097 meta priority set 0:1
                ip protocol icmp counter packets 12 bytes 6912 meta priority set 0:6
                ip protocol igmp counter packets 60 bytes 1920 meta priority set 0:6
                oifname "eth0.832" udp dport 67 counter packets 0 bytes 0 meta priority set 0:6
        }


le script firewall.user:
root@OpenWrt:~# cat /etc/firewall.user
nft add rule inet fw4 mangle_postrouting counter meta priority set 0:1
nft add rule inet fw4 mangle_postrouting ip protocol icmp counter meta priority set 0:6
nft add rule inet fw4 mangle_postrouting ip protocol igmp counter meta priority set 0:6
nft add rule inet fw4 mangle_postrouting oifname "eth0.832" udp dport 67 counter meta priority set 0:6


Salut à toutes et tous.

First thing first merci à l'auteur et aux passionnés de partager ces précieuses informations. C'est de la balle.

EDIT 2 : /etc/config/network

Je tente depuis hier de mettre en place un routeur à la zonmé. Js'uis pas un ouf en réseau mais c'est justement pour monter un lab et commencer à entrer dans le vif du sujet.

Si quelqu'un est ok pour m'aiguiller ou m'aider à combler mon insondable ignorance je suis preneur.

Je dispose d'un mikrotik HexS flashé avec la version snapshsot d'Openwrt r19670-16e9ccd5fa.
J'ai un adaptateur compatible orange me semble-t-il : GPON SFP ONT Sercom FGS202.

Le projet est plutôt simple en faire le routeur avec le WAN sur le SFP et distribuer le réseau ensuite sur le LAN avec des VLAN.

Vraisemblablement y'a plus qu'à.

Sauf que y'a des trucs que j'ai pas capté. C'est pour ça que je suis viendu vous demander

1. le tag vlan du cpu : t pour tag, on tag sur le port 4 (qui est le port wan) et le 6 c'est mon cpu eth1.

Je pige pas. meme avec la doc : https://openwrt.org/docs/guide-user/network/vlan/switch_configuration

2. Il semble qu'il y a des choses qui ont changé sur les dernières versions comme la syntaxe du fichier /etc/config/network : https://openwrt.org/releases/21.02/notes-21.02.0#new_network_configuration_syntax_and_boardjson_change


Bon j'ai tenté une conf mais sans succès.



Si vous voulez zyeuter :

config interface 'loopback'
option device 'lo'
option proto 'static'
option ipaddr '127.0.0.1'
option netmask '255.0.0.0'

config globals 'globals'
option packet_steering '1'
option ula_prefix 'fd27:cf44:3355::/48'

config device
option name 'br-lan'
option type 'bridge'
list ports 'lan2'
list ports 'lan3'
list ports 'lan4'
list ports 'lan5'

config device
option name 'lan2'
option macaddr 'dc:2c:6e:80:XX:YY'

config device
option name 'lan3'
option macaddr 'dc:2c:6e:80:XX:YY'

config device
option name 'lan4'
option macaddr 'dc:2c:6e:80:XX:YY'

config device
option name 'lan5'
option macaddr 'dc:2c:6e:80:XX:YY'

config interface 'lan'
option device 'br-lan'
option proto 'static'
option ipaddr '192.168.1.1'
option netmask '255.255.255.0'
option ip6assign '64'

config device
        option name 'br-wan'
        option type 'bridge'
        list ports 'eth0'
        list ports 'sfp'
        list ports 'wan'

config device
option name 'wan'
option macaddr 'dc:2c:6e:80:XX:ZZ'

config device
        option name 'sfp'
        option macaddr 'dc:2c:6e:80:XX:ZZ'


config device               
        option name 'sfp.832'
        option type '8021q'
        option ifname 'sfp'
        option vid '832'
        list egress_qos_mapping '0:0'
        list egress_qos_mapping '2:2'       
        list egress_qos_mapping '3:3'                                                                                                                   
        list egress_qos_mapping '4:4'
        list egress_qos_mapping '5:5'
        list egress_qos_mapping '6:6'
        list egress_qos_mapping '7:7'
        list egress_qos_mapping '1:0'
        list egress_qos_mapping '0:6'


config interface 'wan'
option device 'sfp.832'
option proto 'dhcp'
option broadcast '1'
option vendorid 'sagem'
option reqopts '1 15 28 51 58 59 90'
option sendopts '77:2b46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c697665626f7834 90:FTI/PASSWORD'

config interface 'wan6'
option device 'sfp.832'
option proto 'dhcpv6'
option reqprefix 'auto'
option reqaddress 'none'
option defaultreqopts '0'
option sendopts '11:00000000000000000000001a0900000558010341010d6674692f6674692f7574677a716464 15:FSVDSL_livebox.Internet.softathome.livebox4 16:0000040e0005736167656d'
option reqopts '11 17 23 24'
option noclientfqdn '1'
option noacceptreconfig '1'



Avant de me lancer plus loin je voulais savoir si il y a des étapes complémentaires à ce tuto (je pense que oui) ?
 
Par exemple :

1. Le passage à nftables

Merci @simonf :

2. La nécessité d'ajouter le password salté/hashé autrement dit version longue pour option 90.


Merci @cetipabo

Merci @ElementW

Si quelqu'un peut m’éclairer avant que je me lance ça me motiverait à fond.

Merci d'avance.

@+

EDIT : typo
EDIT 2 : Update
EDIT 3 : Il avait pas obfusqué ses MAC le type.