Auteur Sujet: Remplacer la LB par un firewall/routeur Netasq ou Stormshield  (Lu 31508 fois)

0 Membres et 1 Invité sur ce sujet

VXgas

  • Abonné Free fibre
  • *
  • Messages: 41
  • 13
Bonjour,

Je pense passer très prochainement à la fibre Orange présente dans mon bâtiment  (aucun autre opérateur n'offrant la fibre avant très longtemps).
Toutefois utilisant actuellement un firewall Netasq derrière une freebox en mode bridge j'aimerai savoir si quelqu'un a déjà testé/configuré une connexion directe de l'ONT à ce type d'équipement avant de me lancer ?
D'avance merci !

VX

VXgas

  • Abonné Free fibre
  • *
  • Messages: 41
  • 13
Remplacer la LB par un firewall/routeur Netasq ou Stormshield
« Réponse #1 le: 17 juillet 2016 à 10:31:04 »
Bon en étudiant les tuto des autres routeurs, a priori, au vu des options dispo dans ce firewall ça doit être possible.
Possibilité d'activer un modem PPPoE (mais j'ai cru comprendre que Orange aller abandonner le PPoE ?)
Ajout de VLAN qu'on peut attacher à une interface.
Ajout de bridge
Tout semble y être.

Y a-t-il des particularités ou détails à envisager que j'oublie ?


Krome

  • Abonné Orange Fibre
  • *
  • Messages: 123
  • FTTH 1000/250 Mb/s sur Clermont-Ferrand (63)
Remplacer la LB par un firewall/routeur Netasq ou Stormshield
« Réponse #2 le: 20 juillet 2016 à 20:12:39 »
Je vais suivre ton avancement si tu te lances dans une config avec un Stormshield, sachant que je bosse quotidiennement avec.
J'en ai déjà fait fonctionner avec de la fibre Orange grand public en utilisant une config dialup PPPoE, cependant je n'ai encore jamais essayé avec le DHCP.
Par contre c'était configuré pour de l'internet uniquement, pas de récupération de TV ou téléphonie.

Tu vas utiliser quel modèle de boitier ?


VXgas

  • Abonné Free fibre
  • *
  • Messages: 41
  • 13
Remplacer la LB par un firewall/routeur Netasq ou Stormshield
« Réponse #3 le: 20 juillet 2016 à 20:26:18 »
Hello.
J'ai un Stormshield SN150 comme l'indique la capture. Pas encore très répandu c'est un produit né de la fusion de Netasq/Arkoon. Interface quasi-identique au Netasq.
Il se trouve que des techniciens viennent d'installer la fibre hier dans ma rue hier (!!) , aussi, vais-je patienter avant de me précipiter chez Orange. De ce fait, pas certain de tester la config pour la Livebox. Mais dans le menu Interfaces tu peux ajouter du PPoE, du bridge, et attacher des VLAN à l'une ou l'autre des interfaces donc ça ne devrait pas (trop) poser problème.

Krome

  • Abonné Orange Fibre
  • *
  • Messages: 123
  • FTTH 1000/250 Mb/s sur Clermont-Ferrand (63)
Remplacer la LB par un firewall/routeur Netasq ou Stormshield
« Réponse #4 le: 20 juillet 2016 à 20:29:28 »
Ah oui j'avais pas fait attention.
Suis curieux de voir si un SN150 serait capable de tenir le débit d'une offre Jet chez Orange en gigabit.
Je sais bien qu'on peut ajouter des VLAN et des bridges, cependant je ne pense pas qu'il sache garder les marquages DSCP pour gérer les priorités sur les VLAN.
Wait and see...

VXgas

  • Abonné Free fibre
  • *
  • Messages: 41
  • 13
Remplacer la LB par un firewall/routeur Netasq ou Stormshield
« Réponse #5 le: 20 juillet 2016 à 21:17:44 »
Son débit firewall est de 400 Mbps "seulement" et 200 en IPS et on tombe à 100 pour du VPN IPsec. Mais c'est déjà pas mal !
Faut passer au SN200 pour avoir du 600 en firewall et IPS et 250 en VPN et à des modèle SN500 pour 1 Gbps seulement sur le firewall.
Toujours mieux que les "petits" produits :)

kontuz

  • Abonné Bbox fibre
  • *
  • Messages: 5
  • Lyon (69)
Remplacer la LB par un firewall/routeur Netasq ou Stormshield
« Réponse #6 le: 23 juillet 2016 à 14:47:59 »
Salut,

Il est possible de connecter un SNS en Dhcp sur le réseau orange. Par contre je n'ai essayé qu'en ipv4 et n'ai pas réussi à faire marcher la télé correctement (et  c'est un peu de la bricole ;) ).
Il est possible de garder la Livebox derrière en modifiant le serveur dhcp (explication possible sur demande) afin de garder son wifi.

Pour le DHCP, il faut donc créer le VLAN 832 attaché à l'interface out.
      Bien cocher 'ip dynamique' et 'Preserve VLAN 802.1p priority' dans configuration avancée
On va ensuite mettre une règle de NAT qui utilise le vlan en sortie (sinon pas de net, et on pense que rien ne marche).

Maintenant c'est là que ça devient tricky...
Il faut configurer le SNS pour qu'il envoie la bonne requête DHCP aux serveurs d'orange. Pour ça il faut modifier directement le fichier de configuration du client dhcp. Le truc un peu chiant c'est que dès qu'on touche à la configuration des interfaces ce fichier est régénéré et la modif est perdue. Il faut donc mettre des flags spéciaux pour bloquer l'écriture de ce fichier.

Il faut donc aller éditer le fichier /var/dhclient.conf et y rajouter les infos suivantes:

Sous
script "/usr/Firewall/sbin/dhclient-script";
on va rajouter la définition des options à envoyer:


option authsend code 90 = { string};
option dhcp-class-identifier code 60 = { string};
option user-class code 77 = { string};


ensuite, il faut trouver le nom de l'interface de votre vlan 832 (un ifconfig devrait suffire)
et remplacer par ça (en n'oubliant pas de remplacer vlan0 par l'identifiant de votre vlan)

interface "vlan0" {
send dhcp-lease-time 3600;
send dhcp-class-identifier "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send authsend 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:00:11:22:33:44:55:66;
request subnet-mask, broadcast-address, routers;
require subnet-mask;
}


La valeur de authsend est défini de la manière suivante:
00:...:00 : ça on laisse tel quel
66:74:69:2f: ça, c'est fti/ en hexa, le début de vos identifiants orange.
la suite, c'est le reste de votre identifiant orange, lui aussi en hexa.

Un petit
echo -n 'fti/monidentifiant' | xxd  -p
devrait faire le taf (depuis un linux, xxd n'est pas présent sur le SNS) et vous donner la valeur que vous attendez. Une fois obtenu, remplacez 66:74:69:2f:00:11:22:33:44:55:66 par le résultat de la commande sans oublier d'ajouter les :

Ensuite, on enregistre le fichier, et on le fige avec un petit
chflags uchg /var/dhcpd.conf
pour empêcher toute modification par le système.

Et on relance le client dhcp via un
nrestart dhclient


Normalement la connexion devrait s'établir.
Et c'est fini!

Pour rappel, pensez bien à configurer vos interface avant, car le uchflag empêche de modifier le fichier dhclient, ce qui ne plait pas trop au SNS lorsqu'il régénère sa conf. Tous les autres réglages marchent encore cependant.
Si vous voulez modifier quelque chose après coup, faites une backup du fichier (au cas où, puis lancez un petit:
chflags nouchg /var/dhcpd.conf
pour le débloquer. Faites vos modifs et recommencez le tuto.
Evitez de cp le fichier de backup à la place du nouveau, car il se peut que vous écrasiez la config de vos nouvelles interfaces.

Si je ne suis pas assez clair, dites le moi. J'éditerai le post.

VXgas

  • Abonné Free fibre
  • *
  • Messages: 41
  • 13
Remplacer la LB par un firewall/routeur Netasq ou Stormshield
« Réponse #7 le: 23 juillet 2016 à 16:29:42 »
Whaou ! Bravo Kontuz ! Impressionné ! Tu connais parfaitement le produit ! Tu bosses régulièrement dessus ?

Je ne pense finalement pas passer chez Orange, mais ceci pourra servir à quelqu'un d'autre. Toutefois le cas m'intéresse.

Ne serait-il pas possible de soumettre à Stormshield la demande de ces réglages directement dans l'interface pour un prochain firmware ?

Pourquoi utilises-tu le VLAN 832 ? N'est-ce pas le 835 ?

Salut,
Il est possible de connecter un SNS en Dhcp sur le réseau orange. Par contre je n'ai essayé qu'en ipv4 et n'ai pas réussi à faire marcher la télé correctement (et  c'est un peu de la bricole ;) ).

N'est-ce pas simplement le passage du VLAN 840 ?

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 258
  • Antibes (06) / Mercury (73)
Remplacer la LB par un firewall/routeur Netasq ou Stormshield
« Réponse #8 le: 23 juillet 2016 à 17:23:23 »
Pourquoi utilises-tu le VLAN 832 ? N'est-ce pas le 835 ?
Le 835 c'est pour les connexions en PPPoE.

VXgas

  • Abonné Free fibre
  • *
  • Messages: 41
  • 13
Remplacer la LB par un firewall/routeur Netasq ou Stormshield
« Réponse #9 le: 23 juillet 2016 à 17:39:27 »
Le 835 c'est pour les connexions en PPPoE.
Ah uniquement ok...

Mis à part des infos dispercées sur différents sujets de remplacement de la livebox par un routeur en particulier, y'a-t-il un post ou est décrit en détail les différents VLAN et aspect techniques de ce DHCP ?

ubune

  • Abonné Orange Fibre
  • *
  • Messages: 315
Remplacer la LB par un firewall/routeur Netasq ou Stormshield
« Réponse #10 le: 08 janvier 2017 à 15:44:14 »
Bonjour à tous, pour contribuer un peu sur le sujet,

Je me suis concentré sur internet (dhcp) uniquement, sur un SN en version 3.0.1

Pour compléter le tuto de kontuz en dhcp (encore merci) car il manque quelques éléments :

- dans les request (option 55), il faut rajouter "authsend" (option 90).
- Les demandes DHCP depuis le SN doivent être marqués en CoS=6, si quelqu'un sait si c'est possible de faire depuis le sn je suis preneur, sinon en attendant Netgear GS108TV2^^.
 Si ça a marché chez kontuz et qu'il ne marque pas, il doit faire parti des chanceux qui n'en n'ont pas besoin (pas mon cas).

Mon dhcpdclient.conf (SN en version 3.0.1, mon 2èm vlan correspond au vlan 832).

retry 60;
select-timeout 5;
initial-interval 2;
script "/usr/Firewall/sbin/dhclient-script";

option authsend code 90 = { string};
option dhcp-class-identifier code 60 = { string};
option user-class code 77 = { string};
#option dhcp-client-identifier code 61 = { string};

interface "vlan0" {
request subnet-mask, broadcast-address, routers;
require subnet-mask;
}

interface "vlan1" {
request subnet-mask, broadcast-address, routers;
require subnet-mask;
}

interface "vlan2" {
send dhcp-class-identifier "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send authsend 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:AA:AA:AA:AA:AA:AA:AA;
#send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;
request subnet-mask, broadcast-address, routers, authsend;
require subnet-mask;
}


Pour ceux qui n'ont pas besoin d'ipv6, le ppoe est parfaitement fonctionnel et est bien plus facile à mettre en place.





« Modifié: 10 décembre 2018 à 11:46:35 par ubune »

Kirky

  • Abonné Orange Fibre
  • *
  • Messages: 32
  • PUTEAUX 92800
Remplacer la LB par un firewall/routeur Netasq ou Stormshield
« Réponse #11 le: 12 avril 2017 à 20:11:51 »
Bonjour,

Je possède un SN300 et en version 3 et je souhaiterai savoir si vous arriver à obtenir la tv en connectant directement le boitier TV sur un port du Stormshield ?


Merci pour votre aide.

Cdt,

Grégory