Auteur Sujet: Remplacement de la Livebox par un routeur Openwrt (Lu 242421 fois)

krickgpe971 · « **Réponse #588 le:** 20 août 2022 à 17:46:08 »

Citation de: Lucien le 20 août 2022 à 17:40:03

Les deux en direct sur le premier.

Du coup les 3 branchés sur le CRS305.

Lucien · « **Réponse #589 le:** 20 août 2022 à 17:49:54 »

Au début tu parles de 3 switch, si tu rajoutes un CRS305, oui les 3 directement.

krickgpe971 · « **Réponse #590 le:** 20 août 2022 à 18:55:50 »

Citation de: Lucien le 20 août 2022 à 17:49:54

Au début tu parles de 3 switch, si tu rajoutes un CRS305, oui les 3 directement.

Ok merci.

V3yz · « **Réponse #591 le:** 27 août 2022 à 10:31:52 »

Bonjour,
Comme je n'utilise pas de connexion la nuit, j'ai mis mon installation sur prise connectée avec allumage et extinction automatiques.
Je me suis rendu compte qu'en allumant tout au même moment, je me retrouvais avec un upload à 5 Mb/s au lieu d'avoir 300 Mb/s.
Quand le routeur s'allume, il faut donc dans mon cas que l'ONT soit pleinement actif sinon j'ai ce genre d'erreurs.

bolemo · « **Réponse #592 le:** 04 septembre 2022 à 12:19:18 »

Un petit post pour confirmer que le N5105 fonctionne très bien comme routeur.
J'ai acheté avec un petit ventilateur USB à placer dessus, ainsi qu'une pâte thermique de qualité pour remplacer celle par défaut.
Je n'ai pas encore changé la pâte, et avec le ventilo, ça ne chauffe pas.

Un routeur avec 4 ports 2,5 Gbps et indépendants (pas en switch), c'est sympa !

Me reste à trouver le meilleur protocole pour les futures mises-à-jour de OpenWRT.

renaud07 · « **Réponse #593 le:** 10 septembre 2022 à 17:36:31 »

Hello,

Ça fait un bon moment que je n'ai plus touché à la config de mon routeur alors je suis un peu rouillé.

J'ai voulu réactiver l'ipv6 sur mon BT, sauf que, ça ne fonctionne plus (alors que la première fois ça avait marché du premier coup, je n'ai rien touché depuis). J'ai revérifié ma conf, à priori tout est ok (il est pour le moment sur la 18.06.1). L'IPv4 fonctionne sans problème.

Note : Je suis en ADSL, donc pas de prio à gérer.

Code: [Sélectionner]

config interface 'WAN6_DHCP'
	option proto 'dhcpv6'
	option reqprefix 'auto'
	option defaultreqopts '0'
	option sendopts '11:00000000000000000000001a0900000558010341010dXXXXXXXXXXXXXXXXXXXXXX 15:FSVDSL_livebox.Internet.softathome.livebox4 16:0000040e0005736167656d'
	option reqopts '11 17 23 24'
	option noclientfqdn '1'
	option noacceptreconfig '1'
	option reqaddress 'try'
	option ifname 'dsl0'

Le FW :

Code: [Sélectionner]

config rule
	option name 'Allow-MLD'
	option proto 'icmp'
	option src_ip 'fe80::/10'
	list icmp_type '130/0'
	list icmp_type '131/0'
	list icmp_type '132/0'
	list icmp_type '143/0'
	option family 'ipv6'
	option target 'ACCEPT'
	option src 'wanipv6'

config rule
	option name 'Allow-ICMPv6-Input'
	option proto 'icmp'
	list icmp_type 'echo-request'
	list icmp_type 'echo-reply'
	list icmp_type 'destination-unreachable'
	list icmp_type 'packet-too-big'
	list icmp_type 'time-exceeded'
	list icmp_type 'bad-header'
	list icmp_type 'unknown-header-type'
	list icmp_type 'router-solicitation'
	list icmp_type 'neighbour-solicitation'
	list icmp_type 'router-advertisement'
	list icmp_type 'neighbour-advertisement'
	option limit '1000/sec'
	option family 'ipv6'
	option target 'ACCEPT'
	option src 'wanipv6'

config rule
	option name 'Allow-ICMPv6-Forward'
	option proto 'icmp'
	option limit '1000/sec'
	option family 'ipv6'
	option target 'ACCEPT'
	option icmp_type 'echo-reply destination-unreachable echo-request time-exceeded'
	option src 'wanipv6'
	option dest '*'

config zone
	option name 'wanipv6'
	option output 'ACCEPT'
	option input 'DROP'
	option forward 'DROP'
	option network 'WAN6_DHCP'

config forwarding
	option dest 'wan'
	option src 'lan'

config forwarding
	option dest 'wanipv6'
	option src 'lan'

zoc · « **Réponse #594 le:** 10 septembre 2022 à 17:39:18 »

Option 11 "longue" peut-etre devenue obligatoire (et ça devrait suivre pour l'option 90 IPv4 si ce n'est pas encore le cas) ?

renaud07 · « **Réponse #595 le:** 10 septembre 2022 à 18:06:17 »

Merci pour la piste.

Je viens de changer mais toujours pas d'adresse qui pop, du coup j'ai sorti tcpdump et c'est bizarre : Je reçois apparemment bien le préfixe mais il n'est pas pris en compte. Et il envoie en boucle des RS

Problème de FW peut-être ?

renaud07 · « **Réponse #596 le:** 10 septembre 2022 à 20:53:44 »

Alors, j'ai trouvé une solution : après avoir upgradé en 18.06.2 puis en 19.07 sans résultat, j'ai essayé de mettre en accept l'entrant : toujours rien. J'ai alors tenté de modifier la règle DHCPv6-input et au lieu d'avoir fc00::/6 en source et destination, j'ai mis any et magie, je récupère mon préfixe

Ce qui m'amène à une question : pourquoi fc00::/6 ? Car dans la capture on voit bien que l'échange se fait avec les link local. Je ne m'étais jamais posé la question avant, mais maintenant ça me parait bizarre.

EDIT : Je crois avoir compris la plage fc00::/6 engloble la fe80::/10 ? Du coup, je me demande pourquoi il a fallut autoriser tout...

renaud07 · « **Réponse #597 le:** 10 septembre 2022 à 21:40:45 »

Joie de courte durée... si j'ai bien récupéré mon préfixe, y'a un problème de routage, car rien ne sort... J'ai loupé quoi ?

La route vers ba0bab à l'air pourant en place :

Code: [Sélectionner]

ip -6 route show
default from 2a01:xxx:d2a:xxx::/56 via fe80::ba0:bab dev dsl0  metric 4096 
2a01:xxx:d2a:xxx::/64 dev br-lan  metric 1024 
unreachable 2a01:xxx:d2a:xxx:/56 dev lo  metric 2147483647  error -148
fd63:13cf:cda4::/64 dev br-lan  metric 1024 
unreachable fd63:13cf:cda4::/48 dev lo  metric 2147483647  error -148
fe80::/64 dev eth0  metric 256 
fe80::/64 dev eth0.832  metric 256 
fe80::/64 dev br-lan  metric 256 
fe80::/64 dev wlan1  metric 256 
fe80::/64 dev dsl0  metric 256 
fe80::/64 dev wlan0  metric 256 
anycast 2a01:cb14:d2a:9400:: dev br-lan  metric 0 
anycast fd63:13cf:cda4:: dev br-lan  metric 0 
anycast fe80:: dev eth0  metric 0 
anycast fe80:: dev eth0.832  metric 0 
anycast fe80:: dev br-lan  metric 0 
anycast fe80:: dev wlan1  metric 0 
anycast fe80:: dev dsl0  metric 0 
anycast fe80:: dev wlan0  metric 0

EDIT : un tcpdump plus tard, les deux se répondent continuellement avec des NS et NA sans autre trafic.

Code: [Sélectionner]

21:50:50.476425 IP6 fe80::200:1ff:fe00:0 > ff02::1:ffa0:bab: ICMP6, neighbor solicitation, who has fe80::ba0:bab, length 32
21:50:50.498362 IP6 fe80::ba0:bab > fe80::200:1ff:fe00:0: ICMP6, neighbor advertisement, tgt is fe80::ba0:bab, length 32
21:50:51.495616 IP6 fe80::200:1ff:fe00:0 > ff02::1:ffa0:bab: ICMP6, neighbor solicitation, who has fe80::ba0:bab, length 32
21:50:51.518453 IP6 fe80::ba0:bab > fe80::200:1ff:fe00:0: ICMP6, neighbor advertisement, tgt is fe80::ba0:bab, length 32
21:50:52.519651 IP6 fe80::200:1ff:fe00:0 > ff02::1:ffa0:bab: ICMP6, neighbor solicitation, who has fe80::ba0:bab, length 32
21:50:52.548770 IP6 fe80::ba0:bab > fe80::200:1ff:fe00:0: ICMP6, neighbor advertisement, tgt is fe80::ba0:bab, length 32
21:51:06.358137 IP6 fe80::200:1ff:fe00:0 > ff02::1:ffa0:bab: ICMP6, neighbor solicitation, who has fe80::ba0:bab, length 32
21:51:06.388594 IP6 fe80::ba0:bab > fe80::200:1ff:fe00:0: ICMP6, neighbor advertisement, tgt is fe80::ba0:bab, length 32
21:51:07.367618 IP6 fe80::200:1ff:fe00:0 > ff02::1:ffa0:bab: ICMP6, neighbor solicitation, who has fe80::ba0:bab, length 32
21:51:07.408681 IP6 fe80::ba0:bab > fe80::200:1ff:fe00:0: ICMP6, neighbor advertisement, tgt is fe80::ba0:bab, length 32
21:51:08.391615 IP6 fe80::200:1ff:fe00:0 > ff02::1:ffa0:bab: ICMP6, neighbor solicitation, who has fe80::ba0:bab, length 32
21:51:08.418769 IP6 fe80::ba0:bab > fe80::200:1ff:fe00:0: ICMP6, neighbor advertisement, tgt is fe80::ba0:bab, length 32
21:51:11.420250 IP6 fe80::200:1ff:fe00:0 > ff02::1:ffa0:bab: ICMP6, neighbor solicitation, who has fe80::ba0:bab, length 32
21:51:11.448769 IP6 fe80::ba0:bab > fe80::200:1ff:fe00:0: ICMP6, neighbor advertisement, tgt is fe80::ba0:bab, length 32
21:51:11.639009 IP6 fe80::ba0:bab > fe80::200:1ff:fe00:0: ICMP6, neighbor solicitation, who has fe80::200:1ff:fe00:0, length 32
21:51:12.423614 IP6 fe80::200:1ff:fe00:0 > ff02::1:ffa0:bab: ICMP6, neighbor solicitation, who has fe80::ba0:bab, length 32
21:51:12.448841 IP6 fe80::ba0:bab > fe80::200:1ff:fe00:0: ICMP6, neighbor advertisement, tgt is fe80::ba0:bab, length 32
21:51:13.447617 IP6 fe80::200:1ff:fe00:0 > ff02::1:ffa0:bab: ICMP6, neighbor solicitation, who has fe80::ba0:bab, length 32

EDIT : Problème résolu ! La config de mon parefeu est aux fraises, je suis obligé de mettre la zone wan pour que ça fonctionne, alors même que l'interface WAN6_DHCP a sa propre zone, comme dans le tuto... J'y comprends rien pour le coup.

EDIT2 : J'ai essayé de réarranger le bouzin mais ça ne fonctionne toujours pas et lors d'un reload, j'ai ces lignes :

Code: [Sélectionner]

Warning: fw3_ipt_rule_append(): Can't find target 'input_wan6_rule'
Warning: fw3_ipt_rule_append(): Can't find target 'output_wan6_rule'
Warning: fw3_ipt_rule_append(): Can't find target 'forwarding_wan6_rule'
Warning: fw3_ipt_rule_append(): Can't find target 'prerouting_wan6_rule'
Warning: fw3_ipt_rule_append(): Can't find target 'postrouting_wan6_rule'

Je ne comprends pas d'où ça sort. Et je suppose que c'est pour ça que les règles chient dans la colle.

Voici ma conf :

Code: [Sélectionner]

config defaults
	option syn_flood '1'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'REJECT'

config zone
	option name 'lan'
	option input 'ACCEPT'
	option output 'ACCEPT'
	option forward 'ACCEPT'
	option network 'lan'

config zone
	option name 'wan'
	option output 'ACCEPT'
	option masq '1'
	option input 'DROP'
	option forward 'DROP'
	option mtu_fix '1'
	option network 'WAN_DHCP HENET'
	
config zone
	option name 'wan6'
	option output 'ACCEPT'
	option forward 'DROP'
	option network 'WAN6_DHCP'
	option input 'DROP'
	
config zone
	option input 'ACCEPT'
	option forward 'REJECT'
	option output 'ACCEPT'
	option network 'tellb'
	option name 'SIPLB4'
	
config rule
	option name 'Allow-DHCP-Renew'
	option src 'wan'
	option proto 'udp'
	option dest_port '68'
	option target 'ACCEPT'
	option family 'ipv4'

config rule
	option name 'Allow-Ping'
	option src 'wan'
	option proto 'icmp'
	option icmp_type 'echo-request'
	option family 'ipv4'
	option target 'ACCEPT'

config rule
	option name 'Allow-IGMP'
	option src 'wan'
	option proto 'igmp'
	option family 'ipv4'
	option target 'ACCEPT'

config rule
	option name 'Allow-DHCPv6'
	option proto 'udp'
	option src_ip 'fc00::/6'
	option dest_ip 'fc00::/6'
	option dest_port '546'
	option family 'ipv6'
	option target 'ACCEPT'
	option src 'wan6'

config rule
	option name 'Allow-MLD'
	option proto 'icmp'
	option src_ip 'fe80::/10'
	list icmp_type '130/0'
	list icmp_type '131/0'
	list icmp_type '132/0'
	list icmp_type '143/0'
	option family 'ipv6'
	option target 'ACCEPT'
	option src 'wan6'

config rule
	option name 'Allow-ICMPv6-Forward'
	option proto 'icmp'
	option limit '1000/sec'
	option family 'ipv6'
	option target 'ACCEPT'
	option icmp_type 'echo-reply destination-unreachable echo-request time-exceeded'
	option src 'wan6'
	option dest '*'
	
config rule
	option name 'Allow-ICMPv6-Input'
	option proto 'icmp'
	option limit '1000/sec'
	option family 'ipv6'
	option target 'ACCEPT'
	list icmp_type 'destination-unreachable'
	list icmp_type 'echo-reply'
	list icmp_type 'echo-request'
	list icmp_type 'neighbour-advertisement'
	list icmp_type 'neighbour-solicitation'
	list icmp_type 'router-advertisement'
	list icmp_type 'router-solicitation'
	list icmp_type 'time-exceeded'
	option src 'wan6'

config rule
	option name 'Allow-IPSec-ESP'
	option src 'wan'
	option dest 'lan'
	option proto 'esp'
	option target 'ACCEPT'

config rule
	option name 'Allow-ISAKMP'
	option src 'wan'
	option dest 'lan'
	option dest_port '500'
	option proto 'udp'
	option target 'ACCEPT'

config include
	option path '/etc/firewall.user'

config forwarding
	option dest 'wan'
	option src 'SIPLB4'

config rule
	option src 'SIPLB4'
	option dest_port '53'
	option proto 'tcpudp'
	option target 'ACCEPT'
	option name 'DNS Livebox'

config rule
	option src 'SIPLB4'
	option dest_port '67-68'
	option proto 'udp'
	option target 'ACCEPT'
	option name 'DHCP Livebox'

config rule
	option name 'Allow-DHCP-Renew for Livebox'
	option proto 'udp'
	option dest_port '68'
	option target 'ACCEPT'
	option family 'ipv4'
	option src 'SIPLB4'

config forwarding
	option dest 'wan'
	option src 'lan'

config forwarding
	option dest 'wan6'
	option src 'lan'

EDIT3 : Je crois avoir enfin résolu le pb pour de bon ! : j'avais oublié de restreindre en v4/v6 chaque zone. Cette fois si je sélectionne wan6, j'ai bien mon préfixe. Par contre les lignes warning n'ont pas disparues.

ubune · « **Réponse #598 le:** 11 septembre 2022 à 11:05:08 »

Salut Renaud07

Oui il faut bien définir les zones,
Concernant ipv6 et le Fw, j'ai déjà eu plusieurs cas similaire au tiens que j'avais résolu en ajoutant l'interface vlan832 dans la zone wan6.

Si tu regardes la zone ipv6 du tuto (version 22.03) :

Code: [Sélectionner]

config zone
	option name 'wan6'
	option input 'DROP'
	option output 'ACCEPT'
	option forward 'DROP'
	option family 'ipv6' ## Zone ipv6 only pour ne pas mélanger les règles sur les deux mondes
	list network 'wan6'
        list device 'eth0.832'

Du coup maintenant que la 22.03 est sortie en version stable, tu ne veux pas tenter l'upgrade ?
A +

renaud07 · « **Réponse #599 le:** 11 septembre 2022 à 13:39:50 »

Merci pour ta réponse. Le problème c'est que je suis en ADSL donc pas de VLAN à définir.

Sans compter que le eth0.832 est déjà occupé par la LB pour le téléphone. Ça va d'ailleurs être chaud lors du passage à la fibre, j'ai presque plus de place dans mon meuble pour caser un switch et le media converter.

Ou alors je change de routeur.