Auteur Sujet: Remplacement LB4 par routeur Ubiquiti ERL3 TV + NET (Lu 11987 fois)

kune · « **Réponse #36 le:** 08 février 2017 à 21:26:34 »

Citation de: zoc le 08 février 2017 à 20:34:37

Bizarre du coup. Que donnes un 'show ip route' sur l'ERL ? Est-ce que tu as des routes spécifiques sur eth1.838 ?
Sinon, dans /etc/dhcp/dhclient-exit-hooks.d tu as quoi ? (Il y a plusieurs dossiers possibles pour les scripts dhclient) en 1.8.5 je n'ai que ddclient.

Code: [Sélectionner]

Codes: K - kernel, C - connected, S - static, R - RIP, B - BGP
       O - OSPF, IA - OSPF inter area
       N1 - OSPF NSSA external type 1, N2 - OSPF NSSA external type 2
       E1 - OSPF external type 1, E2 - OSPF external type 2
       > - selected route, * - FIB route, p - stale info
IP Route Table for VRF "default"
S    *> 0.0.0.0/0 [210/0] via 86.202.200.1, eth1.832
C    *> 10.254.232.0/21 is directly connected, eth1.838
C    *> 86.202.200.0/21 is directly connected, eth1.832
C    *> 127.0.0.0/8 is directly connected, lo
C    *> 192.168.0.0/24 is directly connected, eth2
C    *> 192.168.1.0/24 is directly connected, eth0
C    *> 192.168.255.0/24 is directly connected, eth1.840

Citation de: zoc le 08 février 2017 à 20:34:37

Sinon, dans /etc/dhcp/dhclient-exit-hooks.d tu as quoi ? (Il y a plusieurs dossiers possibles pour les scripts dhclient) en 1.8.5 je n'ai que ddclient.

Je n'ai que ddclient !

zoc · « **Réponse #37 le:** 08 février 2017 à 21:29:14 »

Franchement, j'ai du mal à comprendre comment la VOD et le replay peuvent fonctionner sur le décodeur TV avec les routes que tu as...

keshav26 · « **Réponse #38 le:** 09 février 2017 à 13:31:46 »

Bonjour,

J'ai remarqué un petit problème internet est OK, la télé OK mais parcontre pas de Replay est ce qu'il une solution ?

Quand on appuie sur la télécommande rpour accéder au Replay rien se passe

Merci par avance

zoc · « **Réponse #39 le:** 09 février 2017 à 13:58:30 »

Le script classless-machin....

Vérifier également que l'interface eth1.838 a bien une adresse IP

keshav26 · « **Réponse #40 le:** 09 février 2017 à 14:37:25 »

merci zoc

Mais il me semble de l'avoir laissé hier je vérifierai le tout ce soir

merci

keshav26 · « **Réponse #41 le:** 09 février 2017 à 19:05:04 »

bonsoir zoc,

Au fait il y a eu une mise à jour Orange hier qui avait cassé le menu Orange

En appuyant sur Menu >>> Replay ça ne fonctionner pas mais par contre en allant sur TF1 et en faisant OK sur la télécommande ça fonctionner bref...

Ils sont fait un autre mise à jour ce soir qui la réparer ... Sinon j'ai vérifié j'avais bien laisser le rfc3442 hier.

Merci Encore bonne soirée.

keshav26 · « **Réponse #42 le:** 17 février 2017 à 11:01:16 »

Bonjour,

J'ai un bug étrange.

Depuis la mise en place d'ERL3 tout fonctionne bien.
Sauf que le replay fonctionne aléatoirement.

Syndrome: Quand on choisit Replay avec la télécommande soit la télé affiche écran noir ou le button Replay sur la télé ne répond pas.

Un redémarrage d'ERL3 règle le problème mais est ce que c'est problème connu.

Merci

zoc · « **Réponse #43 le:** 17 février 2017 à 13:47:46 »

Ca ressemble à un renouvellement d'adresse IP sur eth1.838 qui aurait échoué...

La prochaine fois, au lieu de redémarrer l'ERL, tenter un:

Code: [Sélectionner]

renew dhcp interface eth1.838

en ligne de commande pour voir si ça règle le problème. Si c'est le cas, je suspecte la présence d'une règle de firewall qui empêche le renouvellement de l'adresse IP... Chez moi j'ai un set de rules spécifiques pour eth1.838, et dans mon set "ORANGE_LOCAL", j'ai

Code: [Sélectionner]

        rule 4 {
            action accept
            description "Allow DHCP responses"
            destination {
                port 68
            }
            log disable
            protocol udp
        }

et quand je regardes les stats du firewall, je vois bien que cette règle matche:

Code: [Sélectionner]

admin@gateway:~$ show firewall name ORANGE_LOCAL statistics
--------------------------------------------------------------------------------

IPv4 Firewall "ORANGE_LOCAL"  [ORANGE4 to GW]

 Active on (eth1.838,LOCAL)

rule  packets     bytes       action  description
----  -------     -----       ------  -----------
1     0           0           ACCEPT  Allow Established Sessions
2     1045        41812       DROP    Drop invalid states
3     0           0           ACCEPT  Allow ICMP
4     739         293383      ACCEPT  Allow DHCP responses
10000 277         8864        DROP    DEFAULT ACTION

keshav26 · « **Réponse #44 le:** 18 février 2017 à 13:18:22 »

Bonjour zoc,

Malheureusement je viens de reproduire le problème ce n'est pas le dhcp qui est en cause...

en faisant cela ne regle pas le problème

Code: [Sélectionner]


renew dhcp interface eth1.838

voici mes parametres

Code: [Sélectionner]


firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to LAN"
        enable-default-log
        rule 1 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address 192.168.77.254/24
        description LAN
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description ONT
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description "DHCP Orange"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send dhcp-client-identifier 1:48:x:x:x:x:x;" ( Mac Livebox Modem )
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox3&quot;;"
                client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:x:x:x:x:x:x:x:x:x:x;"
                client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
                default-route update
                default-route-distance 210
                name-server update
            }
            egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
                out {
                }
            }
        }
        vif 838 {
            address dhcp
            description "TV - VOD"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send dhcp-client-identifier 1:40:x:x:x:x:x;" ( Mac decodeur TV )
                client-option "send user-class &quot;\047FSVDSL_livebox.MLTV.softathome.Livebox3&quot;;"
                client-option "request subnet-mask, rfc3442-classless-static-routes;"
                default-route update
                default-route-distance 210
                name-server update
            }
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            address 192.168.255.254/24
            description "TV - Multicast"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {
        address 192.168.2.1/24
        description TV
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth0
    rule 1 {
        description "QNAP SSH"
        forward-to {
            address 192.168.77.18
            port 22
        }
        original-port 22
        protocol tcp_udp
    }
    wan-interface eth1.832
}
protocols {
    igmp-proxy {
        disable-quickleave
        interface eth0 {
            role disabled
            threshold 1
        }
        interface eth1.840 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth2 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
}
service {
    dhcp-server {
        disabled false
        global-parameters "option rfc3118-auth code 90 = string;"
        hostfile-update disable
        shared-network-name LAN {
            authoritative enable
            subnet 192.168.77.0/24 {
                default-router 192.168.77.254
                dns-server 192.168.77.254
                lease 86400
                start 192.168.77.10 {
                    stop 192.168.77.200
                }
                static-mapping Livebox {
                    ip-address 192.168.77.1
                    mac-address 48:x:x:x:x:x ( Mac Livebox  Modem )
                }
            }
        }
        shared-network-name TV {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 192.168.2.1
                lease 86400
                start 192.168.2.10 {
                    stop 192.168.2.10
                }
            }
        }
        use-dnsmasq disable
    }
    dns {
        dynamic {
            interface eth1.832 {
                service custom-noip {
                    host-name xxxxxx.ddns.net
                    login xxxxxxx@gmail.com
                    password xxxx
                    protocol noip
                }
                web dyndns
            }
        }
        forwarding {
            cache-size 1000
            listen-on eth0
            listen-on eth2
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "Masquerading outgoing connections"
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
        rule 5011 {
            description "Masquerading TV"
            log disable
            outbound-interface eth1.838
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    upnp2 {
        listen-on eth0
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan eth1.832
    }
}
system {
    config-management {
        commit-revisions 5
    }
    conntrack {
        expect-table-size 4096
        hash-size 4096
        table-size 32768
        tcp {
            half-open-connections 512
            loose disable
            max-retrans 3
        }
    }
    host-name ubnt
    login {
        user xxxxxx {
            authentication {
                encrypted-password $6$8DVANxxxxxxxxxxx
                plaintext-password ""
            }
            full-name xxxx
            level admin
        }
        user xxxx {
            authentication {
                encrypted-password $6$20xxxxxxxxxxxxxxxNDYDD3Z.L7xEdXk521RE0
                plaintext-password ""
            }
            full-name Admin
            level admin
        }
    }
    name-server 8.8.8.8
    name-server 8.8.4.4
    name-server 80.10.246.3
    name-server 81.253.149.10
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
        ipv6 {
            forwarding enable
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export enable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.4939093.161214.0705 */

Que pensez-vous ça me semble correcte

Merci pour votre aide

zoc · « **Réponse #45 le:** 18 février 2017 à 13:33:34 »

Plusieurs remarques:

Dans cette configuration, il n'y a aucune règle qui protège l'ERL depuis Internet... J'espère que le mot de passe par défaut à été changé, sinon il est déjà probablement infecté...
Il y a une règle de firewall pour l'interface eth1.838, qui devrait se trouver sur eth1.832, et qui peut empêcher le renouvellement du bail DHCP pour la VOD

Concrètement, les paramètres suivants (qui sont dans le vif 838 de eth1):

Code: [Sélectionner]

            firewall {
                local {
                    name WAN_LOCAL
                }
            }

devraient être dans le vif 832. Il faut donc les supprimer du vif 838 et les rajouter dans le vif 832, et ça règlera probablement les 2 problèmes que je cite...

keshav26 · « **Réponse #46 le:** 18 février 2017 à 16:25:25 »

Merci zoc

Au fait je pense qu'il y a eu un problème quand j'ai fait le copier coller de ma config ( Je viens de modifier mon ancien post )...

En regardant, j'ai vu que la régle

Code: [Sélectionner]

 firewall {
                local {
                    name WAN_LOCAL
                }
            }

était bien dans le vif 832...

Merci pour les conseilles, j'ai modifié le mot de passe ubnt que j'avais effectivement zapper.

keshav26 · « **Réponse #47 le:** 20 février 2017 à 19:39:58 »

Bon ça va faire 48 h que le Replay fonctionne sans redémarrage de l'Erl je pense que ça doit être bon maintenant 😀