Auteur Sujet: Remplacement de la Livebox par un routeur Openwrt (Lu 253061 fois)

ochbob · « **Réponse #720 le:** 20 décembre 2022 à 09:47:19 »

Top, merci Ubune, c'est plus clair sur le fonctionnement

Concernant les DNS FAI, je ne veux pas les utiliser (sauf pour la TV, car pas le choix, mais je me ferrais une nouvelle interface LAN pour cette partie si besoin)
Est ce que la config dans dnsmasq prévaut sur l'option d'annonce auto par le peer sur l'interface WAN ?

ubune · « **Réponse #721 le:** 20 décembre 2022 à 10:21:28 »

Citation de: ochbob le 20 décembre 2022 à 09:47:19

Top, merci Ubune, c'est plus clair sur le fonctionnement

Concernant les DNS FAI, je ne veux pas les utiliser (sauf pour la TV, car pas le choix, mais je me ferrais une nouvelle interface LAN pour cette partie si besoin)
Est ce que la config dans dnsmasq prévaut sur l'option d'annonce auto par le peer sur l'interface WAN ?

Décoche le paramètre sur l'interface wan4/wan6 et spéficie un dns personnalisé comme indiqué hier

.

ochbob · « **Réponse #722 le:** 20 décembre 2022 à 10:56:38 »

Nikel, merci

edit: encore une question, je vois que sur le bridge il n'y a pas de gateway positionné, cela est normal car les machine sur le LAN prendront par défaut l'IP du bridge comme gateway ?
(actuellement j'ai positionné la gateway de mon routeur actuel, sinon pas d'internet - logique pour le coup)

ochbob · « **Réponse #723 le:** 21 décembre 2022 à 16:42:14 »

Ubune, n'y aurait-il pas une erreur dans la conf entre ici et ton git au niveau des zone wan et wan6 dans la conf firewall ?

git:

Code: [Sélectionner]

config zone
	option name 'wan6'
	option output 'ACCEPT'
	option family 'ipv6'
	list network 'wan6'
	list device 'eth0.832'
	option forward 'ACCEPT'
	option input 'DROP'

config zone
	option name 'wan'
	option output 'ACCEPT'
	option family 'ipv4'
	list network 'wan4'
	option input 'DROP'
	option forward 'DROP'
	option masq '1'

ici:

Code: [Sélectionner]

config zone
	option name 'wan6'
	option input 'DROP'
	option output 'ACCEPT'
	option forward 'DROP'
	option family 'ipv6' ## Zone ipv6 only pour ne pas mélanger les règles sur les deux mondes
	list network 'wan6'
	list device 'eth0.832'

config zone
	option name 'wan'
	option output 'ACCEPT'
	option family 'ipv4' ## Zone ipv4 only pour ne pas mélanger les règles sur les deux mondes
	list network 'wan4'
	option forward 'DROP'
	option masq '1' ## On remplace l'ip source "privée" des flux sortant sur internet par l'ip publique reçu sur le wan4.
	option input 'DROP'

renaud07 · « **Réponse #724 le:** 21 décembre 2022 à 18:28:56 »

Citation de: simon le 18 décembre 2022 à 10:14:13

Est-ce que dans ton cas, il utilise ton serveur DNS IPv6, ou est-ce qu'il n'envoie en pratique ses requêtes qu'en IPv4?

Ça alterne, un coup ça passe en v6 un coup en v4 sur une même salve de requêtes. Exemple au démarrage de firefox :

Ce qui est bizarre quelques temps avant (c'était sur 10 je crois) ça alternait strictement entre v4 et v6 genre toutes les 5 min.

Aize147 · « **Réponse #725 le:** 22 décembre 2022 à 17:51:43 »

@ubune

Avec ce script là :

Code: [Sélectionner]

#!/bin/sh

WAN_DATA_DEVICE="eth0.832" #<-- Numéro d'interface à changer selon votre configuration.

# Configure a PRIO qdisc on WAN "data" interface.
tc qdisc replace dev "${WAN_DATA_DEVICE}" root handle 1: prio
tc filter del dev "${WAN_DATA_DEVICE}"

# DHCP (raw sockets, do not specify "protocol ip")
tc filter add dev "${WAN_DATA_DEVICE}" parent 1: prio 1 u32 \
  match ip protocol 17 ff \
  match ip dport 67 ffff \
  action skbedit priority 0:6

# ARP
tc filter add dev "${WAN_DATA_DEVICE}" parent 1: prio 2 protocol 0x806 u32 \
  match u32 0 0 \
  action skbedit priority 0:6

# IGMP
tc filter add dev "${WAN_DATA_DEVICE}" parent 1: prio 3 protocol ip u32 \
  match ip protocol 2 ff \
  action skbedit priority 0:6

# ICMP
tc filter add dev "${WAN_DATA_DEVICE}" parent 1: prio 4 protocol ip u32 \
  match ip protocol 1 ff \
  action skbedit priority 0:6

# DHCPv6
tc filter add dev "${WAN_DATA_DEVICE}" parent 1: prio 5 protocol ipv6 u32 \
  match ip6 protocol 17 ff \
  match ip6 dport 547 ffff \
  action skbedit priority 0:6

# ICMPv6
tc filter add dev "${WAN_DATA_DEVICE}" parent 1: prio 6 protocol ipv6 u32 \
  match ip6 protocol 58 ff \
  action skbedit priority 0:6

et un egress 0:0, 6:6 sur le VLAN 832 ça fonctionne. Pas besoin de netfilter.

Au lieu d'utiliser un script hotplug/iface, on peut directement mettre la commande dans le Startup via Luci (rc.local) :

ochbob · « **Réponse #726 le:** 23 décembre 2022 à 17:55:08 »

Citation de: ochbob le 21 décembre 2022 à 16:42:14

Ubune, n'y aurait-il pas une erreur dans la conf entre ici et ton git au niveau des zone wan et wan6 dans la conf firewall ?

git:

Code: [Sélectionner]
config zone option name 'wan6' option output 'ACCEPT' option family 'ipv6' list network 'wan6' list device 'eth0.832' option forward 'ACCEPT' option input 'DROP' config zone option name 'wan' option output 'ACCEPT' option family 'ipv4' list network 'wan4' option input 'DROP' option forward 'DROP' option masq '1'
ici:

Code: [Sélectionner]
config zone option name 'wan6' option input 'DROP' option output 'ACCEPT' option forward 'DROP' option family 'ipv6' ## Zone ipv6 only pour ne pas mélanger les règles sur les deux mondes list network 'wan6' list device 'eth0.832' config zone option name 'wan' option output 'ACCEPT' option family 'ipv4' ## Zone ipv4 only pour ne pas mélanger les règles sur les deux mondes list network 'wan4' option forward 'DROP' option masq '1' ## On remplace l'ip source "privée" des flux sortant sur internet par l'ip publique reçu sur le wan4. option input 'DROP'

Vu les échanges à ce sujet fin mai sur le topic, je comprends mieux

https://lafibre.info/remplacer-livebox/remplacement-de-la-livebox-par-un-routeur-openwrt-18-dhcp-v4v6-tv/msg952178/#msg952178

simon · « **Réponse #727 le:** 23 décembre 2022 à 18:09:29 »

Citation de: renaud07 le 21 décembre 2022 à 18:28:56

Ça alterne, un coup ça passe en v6 un coup en v4 sur une même salve de requêtes. Exemple au démarrage de firefox :

Ce qui est bizarre quelques temps avant (c'était sur 10 je crois) ça alternait strictement entre v4 et v6 genre toutes les 5 min.

Je ne serai pas surpris qu'il track les temps de réponses de tous les DNS enregistrés, et qu'il utilise celui qui répond le plus rapidement. C'est ce que fait macOS et systemd-resolved si je ne me trompe pas.
Vu que les deux serveurs (v6 et v4) sont sur le même équipement, ca va bagotter pour sûr.

simon · « **Réponse #728 le:** 23 décembre 2022 à 18:10:19 »

Citation de: Aize147 le 22 décembre 2022 à 17:51:43

@ubune

Avec ce script là :

Code: [Sélectionner]
#!/bin/sh WAN_DATA_DEVICE="eth0.832" #<-- Numéro d'interface à changer selon votre configuration. # Configure a PRIO qdisc on WAN "data" interface. tc qdisc replace dev "${WAN_DATA_DEVICE}" root handle 1: prio tc filter del dev "${WAN_DATA_DEVICE}" # DHCP (raw sockets, do not specify "protocol ip") tc filter add dev "${WAN_DATA_DEVICE}" parent 1: prio 1 u32 \ match ip protocol 17 ff \ match ip dport 67 ffff \ action skbedit priority 0:6 # ARP tc filter add dev "${WAN_DATA_DEVICE}" parent 1: prio 2 protocol 0x806 u32 \ match u32 0 0 \ action skbedit priority 0:6 # IGMP tc filter add dev "${WAN_DATA_DEVICE}" parent 1: prio 3 protocol ip u32 \ match ip protocol 2 ff \ action skbedit priority 0:6 # ICMP tc filter add dev "${WAN_DATA_DEVICE}" parent 1: prio 4 protocol ip u32 \ match ip protocol 1 ff \ action skbedit priority 0:6 # DHCPv6 tc filter add dev "${WAN_DATA_DEVICE}" parent 1: prio 5 protocol ipv6 u32 \ match ip6 protocol 17 ff \ match ip6 dport 547 ffff \ action skbedit priority 0:6 # ICMPv6 tc filter add dev "${WAN_DATA_DEVICE}" parent 1: prio 6 protocol ipv6 u32 \ match ip6 protocol 58 ff \ action skbedit priority 0:6
et un egress 0:0, 6:6 sur le VLAN 832 ça fonctionne. Pas besoin de netfilter.

Au lieu d'utiliser un script hotplug/iface, on peut directement mettre la commande dans le Startup via Luci (rc.local) :

Bonne idée d'utiliser les match de tc. As-tu pu faire un benchmark sur l'impact en termes de perf entre une solution nftables et tc ?

ochbob · « **Réponse #729 le:** 24 décembre 2022 à 10:27:33 »

C'est OK de mon coté, vaut mieux tard que jamais

Pensez vous que si je joue avec SQM je pourrais stabilisé un peu mieux mon upload dans mon cas ?

edit: bien mieux avec SQM sur l'upload, comme Ubien finalement, j'ai fixé a 627000 pour ma part. c'est le meilleur compromis.

Avec SQM

Sans SQM

Et au niveau de la charge du N5105 pendant les different tests:

Par contre malgré l'ICMPv6 activé (j'accepte input et forward) dans la conf, https://ipv6-test.com me dit que je filtre ICMPv6 ?

simon · « **Réponse #730 le:** 24 décembre 2022 à 11:23:10 »

Citation de: ochbob le 24 décembre 2022 à 10:27:33

Par contre malgré l'ICMPv6 activé (j'accepte input et forward) dans la conf, https://ipv6-test.com me dit que je filtre ICMPv6 ?

Il fait un ping sur l'IP source. En fonction de l'OS du terminal que tu utilises et de sa configuration, il ne répond pas forcément aux pings, même si les firewalls sur le chemin réseau les laissent passer. Windows par exemple ne répond jamais (pourquoi? va savoir...).

ochbob · « **Réponse #731 le:** 24 décembre 2022 à 11:35:30 »

Je vois, je suis sur MacOS et j'utilise Safari pour ma part.
Je testerais depuis d'autre OS/Client pour voir.

Merci pour l'info