Salut,

Je ne suis pas certain que ta config soit bonne. Je n'ai pas testé, mais je ferais plutôt cela :

netdev file :

Code: [Sélectionner]

EgressQOSMaps=6-6

nftables :

Code: [Sélectionner]

# ipv4 (for renew)
table ip mangle {
chain prio_orange {
        udp sport 68 udp dport 67 meta priority set 0:6 ip dscp set cs6 counter comment "mangle-prio_orange_DHCP"
}

    chain POSTROUTING {
    type filter hook postrouting priority mangle; policy accept;
        oifname $iface counter jump prio_orange comment "mangle-postrouting_orange"
   }
}

# ipv6
table ip6 mangle {
chain prio_orange {
    icmpv6 type { nd-router-solicit, nd-neighbor-solicit, nd-neighbor-advert } meta priority set 0:6 ip6 dscp set cs6 counter comment "mangle6-prio_orange_ICMP"
        udp sport 546 udp dport 547 meta priority set 0:6 ip6 dscp set cs6 counter comment "mangle6-prio_orange_DHCP"
}

    chain POSTROUTING {
    type filter hook postrouting priority mangle; policy accept;
        oifname $iface ip6 daddr { fe80::/10, ff02::/16 } counter jump prio_orange comment "mangle6-postrouting_orange"
   }
}


Salut Cyayon !
J'aimerais savoir si tu utilises toujours cette config pour obtenir ipv4 et ipv6, et si oui, si il y avait moyen que tu la partage integralement (en donnant les fichiers et commande a executer).
Pourrais-tu aussi m'indiquer la distrib utilisé (ubuntu ou debian ?) ?

Merci d'avance !

Salut,

Actuellement, j'ai en front un CCR2116 et un CRS310.
le CRS310 héberge l'ONU FS (GPON) et fait la COS6 avec des switch rules, et le CCR2116 tient les dhcp-clients.

Mais avant j'avais systemd-networkd avec cette config qui devrait fonctionner out-of-the-box.
Sans oublier de spécifier les bonnes strings d'authentification bien sûr...
[..].

Il ne reste plus qu'a jouer avec networkctl...
tu auras peut-être un pb d'IPv6 à cause du DUID qui va changer, il te faudra forcer un/des releases successifs.


L'intégralité de mon post est ici : https://medium.com/@cyayon/use-your-own-router-with-orange-isp-8eac32895983

Bonjour,

Je déterre le sujet...
J' avais une configuration fonctionnelle sous Debian et je me suis dit que ca serait pas mal de tout configurer avec systemd-networkd. Et la, c'est le drame !

J'ai (presque) tout essayé au niveau des chaînes a transmettre, le CoS est bien en place, avec nftables, pas tc... mais rien n' y fait, je me retrouve parké en IPv4 alors que j' obtiens bien mon prefix /56 en IPv6.

@cyayon, est-ce que la conf partagée est bien fonctionnelle pour l'IPv4 ?

A priori, c'était réellement à cause d'un problème de syntaxe des options dans le fichier de configuration .network.

Voici au final ce que j'ai mis pour que ça fonctionne. Je suis parti de vos tuto, Mastah et Cyayon : un grand merci ! et j'ai fait quelques modifications. Il reste certainement des choses inutiles venant des tests...


J'ai 2 interfaces physiques renommée avec des fichiers .link en lan et ont :

/etc/systemd/network/10-lan.link :
[Match]
MACAddress=<macaddress_lan>

[Link]
Name=lan

/etc/systemd/network/10-ont.link
[Match]
MACAddress=<macaddress_ont_port>

[Link]
Name=ont

Le réseau est configuré sur l'interface pour accéder à l'ONT, sans autre configuration :
/etc/systemd/network/20-ont.network
[Match]
Name=ont

[Network]
ConfigureWithoutCarrier=true
Address=192.168.1.254/24
Description=ONT access port
LinkLocalAddressing=no
LLDP=no
EmitLLDP=no
IPv6AcceptRA=no
IPv6SendRA=no
VLAN=vlan832

Et le lan :
/etc/systemd/network/30-lan.network
[Match]
Name=lan

[Network]
Address=192.168.1.1/24
Description=Home LAN
IPv6SendRA=yes
DHCPv6PrefixDelegation=yes

[IPv6SendRA]
EmitDNS=no

[DHCPv6PrefixDelegation]
# assign first prefix from pool
SubnetId=0x1

Il y a donc l'interface vlan832 nécessaire pour la connexion :
/etc/systemd/network/00-vlan832.netdev
[NetDev]
Name=vlan832
Kind=vlan
MACAddress=<macaddress_livebox>

[VLAN]
Id=832
EgressQOSMaps=6-6

La configuration de l'interface vlan832 et faite automatiquement en utilisant un fichier template et un script générant les chaines d'authentification. Les paramètres pour le COS6 pour le DHCP IPv4 fonctionnent:
/etc/systemd/scripts/vlan832.template
[Match]
Name=vlan832

[Network]
Description=WAN Orange
LinkLocalAddressing=ipv6
DHCP=yes
IPv6AcceptRA=yes
DHCPPrefixDelegation=yes

[DHCPv4]
ClientIdentifier=mac
$VCI_4
$UC_4
$AUTHv4
UseDNS=no
UseDomains=no
RouteMetric=0
RapidCommit=no
SendHostname=no
RequestOptions=1 3 6 28 51 58 59 90 120 125
IPServiceType=CS6
SocketPriority=6

[DHCPv6]
DUIDType=link-layer
$AUTHv6
$UC_4
$VCI_6
UseHostname=no
UseDNS=no
UseDomains=no
UseNTP=no
UseAddress=no
SendHostname=no
RouteMetric=1024
WithoutRA=solicit
RapidCommit=no
PrefixDelegationHint=::/56

[IPv6AcceptRA]
DHCPv6Client=always
UseDNS=no
UseDomains=no

[DHCPPrefixDelegation]
SubnetId=0x0
UplinkInterface=:self
Announce=no

J'ai repris les exemples de script en bash :
/etc/systemd/scripts/orange_auth.sh
#!/bin/bash

login='fti/xxxxxxxxx'
pass='xxxxxx'
lb_ver=6
lb_hw='sagem'

tohex() {
      for h in $(echo $1 | sed "s/\(.\)/\1 /g"); do printf %02x \'$h; done
}

addsep() {
      echo $(echo $1 | sed "s/\(.\)\(.\)/:\1\2/g")
}

r=$(dd if=/dev/urandom bs=1k count=1 2>&1 | md5sum | cut -c1-16)
id=${r:0:1}
h=3C12$(tohex ${r})0313$(tohex ${id})$(echo -n ${id}${pass}${r} | md5sum | cut -c1-32)
str=$(addsep $(tohex ${login})${h})

# generate auth string
str2=`echo "00:00:00:00:00:00:00:00:00:00:00:1A:09:00:00:05:58:01:03:41:01:0D${str}" | sed 's/^/\\\x/ ; s/:/\\\x/g'`
export AUTHv4=`echo "SendOption=90:string:${str2}"`
export AUTHv6=`echo "SendOption=11:string:${str2}"`

# generate UserClass
uc4=`echo "FSVDSL_livebox.Internet.softathome.Livebox${lb_ver}"`
export UC_4=`echo "UserClass=\"$uc4\""`
uc6=00$(addsep $(tohex "FSVDSL_livebox.Internet.softathome.Livebox${lb_hw}"))
uc6_h=`echo ${uc6} | sed 's/^/\\\x/ ; s/:/\\\x/g'`
export UC_6=`echo "UserClass=$uc6_h"`

# generate VendorClassIdentifier
export VCI_4=`echo "VendorClassIdentifier=${lb_hw}"`
vci6=00:00:04:0e:00:05$(addsep $(tohex ${lb_hw}))
vci6_h=`echo ${vci6} | sed 's/^/\\\x/ ; s/:/\\\x/g'`
export VCI_6=`echo "SendOption=16:string:${vci6_h}"`

# Generate .network file
envsubst < /etc/systemd/scripts/vlan382.template > /etc/systemd/network/30-vlan832.network

Je l’exécute avant le démarrage de networkd avec un service unit systemd :
/etc/systemd/system/update-orange-auth.service
[Unit]
Description=Update Orange authentication strings in .network files
Before=network-pre.target
Wants=network-pre.target

[Service]
Type=oneshot
ExecStart=/etc/systemd/scripts/orange_auth.sh
RemainAfterExit=true
TimeoutSec=5

[Install]
WantedBy=systemd-networkd.service

Activer le service :
systemctl enable update-orange-auth.service
Il faut ensuite gérer le COS/DSCP pour le DHCP IPv6. Cela se fait avec un script et un autre service unit systemd.
/usr/lib/systemd/system/scripts/netdev-egress
#!/bin/sh
# apply netdev/egress priority for orange dhcp client ipv6 requests

SleepRetry=3

# set orange interface
if [ -z "$1" ] ; then
        iface="vlan832"
else
        iface="$1"
fi

echo "executing nft chain netdev filter egress device $iface"

ip link show dev $iface
if [ $? -ne 0 ] ; then
        echo "ERROR : interface $iface not exist, retrying in ${SleepRetry}s..."
        sleep $SleepRetry
        ip link show dev $iface ; [ $? -ne 0 ] && echo "ERROR : interface $iface definitely not exist !" && exit 9
fi

echo "executing nft chain netdev filter egress device $iface"

echo ; echo "existing table netdev filter"
nft list table netdev filter

echo ; echo "applying nft chain netdev filter egress $iface"
nft add "table netdev filter"
nft add "chain netdev filter egress { type filter hook egress devices = ${iface} priority 0; }"
nft insert "rule netdev filter egress udp dport 547 meta priority set 0:6 ip6 dscp set cs6 counter comment \"egress_prio_${iface}_DHCP6\""
nft insert "rule netdev filter egress icmpv6 type { nd-router-solicit, nd-neighbor-solicit, nd-neighbor-advert } meta priority set 0:6 ip6 dscp set cs6 counter comment \"egress_prio_${iface}_ICMP6\""

echo ; echo "final nft table netdev filter"
nft list table netdev filter

echo ; echo "networkctl status $iface"
networkctl -s status $iface

Comme il doit être lancé avant toute requête DHCP, il faut un service unit systemd qui doit être exécuté à la création de l'interface vlan832 :
/etc/systemd/system/netdev-egress@.service
[Unit]
Description=netdev-egress pre-requisite for %i
BindTo=sys-subsystem-net-devices-%i.device
After=sys-subsystem-net-devices-%i.device

[Service]
Type=oneshot
ExecStart=/usr/lib/systemd/system/scripts/netdev-egress %i
RemainAfterExit=true
TimeoutSec=10

[Install]
WantedBy=sys-subsystem-net-devices-%i.device

Il faut ensuite activer ce "service" pour l'interface vlan832 :
systemctl enable netdev-egress@vlan832
Au final, au reboot, tout devrait fonctionner :
journalctl -xeu netdev-egress@vlan832
[...]
systemd-networkd[1071]: vlan832: Gained IPv6LL
[...]
systemd-networkd[1071]: vlan832: DHCP: received delegated prefix xxxx::/56
[...]
systemd-networkd[1071]: vlan832: DHCPv4 address xxxx/24, gateway xxxx.1 acquired from 80.10.5.225

Je vais vérifier le bon fonctionnement sur les prochains jours et n'hésitez pas à faire des retours si vous testez cette configuration.

Merci pour les remarques!

J'ai corrigé les chemins.
J'ai laissé celui-ci : "/usr/lib/systemd/system/scripts/" parce que j'avais des problèmes de permission lors de l’exécution depuis "/etc/systemd/scripts/".

J'ai testé avec une Fedora 40 qui a systemd 255.

Pour ton script, j'ai essayé mais j'ai eu des soucis pour la chaine d'auth IPv6 qui nécessite des "\x" à la place des ":" et le envsubst... Ne pas utiliser de python/perl serait l'idéal effectivement mais j'ai fait au plus rapide pour valider le fonctionnement.

J'ai essayé la modification du script shell. Ça n'est pas forcément beau mais ça a l'air de fonctionner comme ça.
J'ai mis à jour le post.
J'ai du supprimer le fichier 30-vlan832.network pour qu'il puisse le générer sans problème de permissions.

Salut,

Merci pour ce tuto.

par contre, je ne suis pas certain que /etc/systemd/system/netdev-egress@.service s'exécute au bon moment .
L'interface doit exister mais pas configurée.

As-tu testé au boot ?