Auteur Sujet: Remplacer la LiveBox par un Fortigate (Lu 49881 fois)

sebd48 · « **Réponse #96 le:** 16 février 2025 à 17:32:46 »

Je reviens pour donner des nouvelles après avoir testé ma configuration (ci-dessus).
Malheureusement, impossible de faire fonctionner quoi que ce soit. Les paquets ne sortent pas en COS 6 malgré la configuration faites pour cela.
Pourtant Fortinet mentionne que cela est possible depuis la v7.4.4 : https://docs.fortinet.com/document/fortigate/7.4.0/new-features/254478/dscp-marking-for-self-generated-traffic-7-4-4

Lorsque j'aurais à nouveau du temps, je m'y replongerais dedans pour m'assurer que j'ai bien tout compris et que je ne loupe pas un détail quelques part. Si je n'y arrive pas, je songerais peut être à changer d'opérateur pour aller chez Free qui à l'air beaucoup plus simple pour remplacer la box par un fortigate.

Si entre temps, vous avez une idées, je suis preneur.

basilix · « **Réponse #97 le:** 16 février 2025 à 18:18:10 »

@sebd48:

Les champs relatifs à l'option d'authentification sont définis dans le RFC 3118 (réf. Auth. Namespaces). Ils sont identiques dans les deux protocoles.

Voir également mon post.

As-tu spécifié le PCP des paquets ARP ? Je ne connais pas cet environnement (Fortigate).

sebd48 · « **Réponse #98 le:** 16 février 2025 à 18:57:57 »

Citation de: basilix le 16 février 2025 à 18:18:10

@sebd48:

Les champs relatifs à l'option d'authentification sont définis dans le RFC 3118 (réf. Auth. Namespaces). Ils sont identiques dans les deux protocoles.

Voir également mon post.

As-tu spécifié le PCP des paquets ARP ? Je ne connais pas cet environnement (Fortigate).

Merci pour ces informations.
Cependant, mon problème se situe encore en amont. Je n’arrive pas à configurer le Fortigate pour qu’il marque les paquets en CoS6.
Une fois ce point résolu, je pourrai vérifier si le DHCP fonctionne correctement et m’y pencher si nécessaire.

basilix · « **Réponse #99 le:** 16 février 2025 à 19:11:16 »

J'ai répondu en remettant en perspective l'affirmation ci-dessous.

Citation de: sebd48

Cela dit, votre réponse éclaire bien la situation, car il semble que les 70 derniers caractères servent de sel pour le hachage du mot de passe.

Cette affirmation est fausse.

Pour le reste, je ne connais pas.

sebd48 · « **Réponse #100 le:** 16 février 2025 à 19:49:57 »

Citation de: basilix le 16 février 2025 à 19:11:16

J'ai répondu en remettant en perspective l'affirmation ci-dessous.

Cette affirmation est fausse.

Pour le reste, je ne connais pas.

D'accord. Alors il faudra m'expliquer pourquoi les valeurs remontées par la livebox pour les options DHCP 90 (IPv4) et DHCP 11 (IPv6) sont différente sur les 70 derniers caractères. Ce sont les valeurs de la livebox directement. C'était pour cette raison que je posais la question.

basilix · « **Réponse #101 le:** 16 février 2025 à 20:49:55 »

@sebd48 :

Je ne comprends pas ce que tu veux dire. Dans plusieurs de mes captures réseaux, les champs restaient identiques en DHCPv4 et DHCPv6.
L'information d'authentification est codée sur 59 octets. Les 11 octets restants sont définis par le RFC 3118. De plus, le mot de passe ne figure
pas dans le message. Le code de hachage est recalculé via des caractères aléatoires et le mot de passe. En aucun cas les « 70 caractères
servent de sel pour le hachage du mot de passe ». On ne cherche pas à extraire le mot de passe. On vérifie seulement si le code de hachage
intégré dans l'information d'authentification du message correspond à celui calculé. C'est cela qui importe.

sebd48 · « **Réponse #102 le:** 16 février 2025 à 22:32:54 »

Citation de: basilix le 16 février 2025 à 20:49:55

@sebd48 :

Je ne comprends pas ce que tu veux dire. Dans plusieurs de mes captures réseaux, les champs restaient identiques en DHCPv4 et DHCPv6.
L'information d'authentification est codée sur 59 octets. Les 11 octets restants sont définis par le RFC 3118. De plus, le mot de passe ne figure
pas dans le message. Le code de hachage est recalculé via des caractères aléatoires et le mot de passe. En aucun cas les « 70 caractères
servent de sel pour le hachage du mot de passe ». On ne cherche pas à extraire le mot de passe. On vérifie seulement si le code de hachage
intégré dans l'information d'authentification du message correspond à celui calculé. C'est cela qui importe.

Je viens de relancer l’outil pour lire les informations de la Livebox, et je confirme que les options 11 et 90 sont bien identiques, comme tu l’as dit.

Cependant, ce n’est pas toujours le cas. J’ai encore le copier-coller de la dernière fois, et elles ces les valeurs de ces 2 options pas identiques.
Quoi qu’il en soit, comme Zoc l’a mentionné précédemment, les 70 premiers caractères restent fixes, tandis que ceux de droite changent régulièrement.

basilix · « **Réponse #103 le:** 17 février 2025 à 06:12:48 »

@sebd48:

Une clarification s'impose.

Je vois qu'on ne désigne pas les choses de la même façon. Les caractères dont tu parles sont des chiffres hexadécimaux. Ces chiffres représentent
un encodage binaire de l'option d'authentification. Traiter un chiffre hexadécimal comme une unité n'est pas la bonne façon pour caractériser un encodage.
L'Humain peut lire naturellement et efficacement un texte constitué de caractères mais ne pourra pas lire littéralement une information codée en binaire.

33 octets sont véritablement variables dans l'option d’authentification : un caractère aléatoire (1), la chaîne aléatoire (16), le code de hachage (16).
Le RFC 3118 spécifie également que l'information d'authentification du protocole « Configuration Token » est de nature opaque. Néanmoins, sur ce
forum, cette valeur « Orange » a été analysé pour comprendre comment la générer. Jusqu'à preuve du contraire le problème ne vient donc pas de là.

sebd48 · « **Réponse #104 le:** 17 février 2025 à 10:12:50 »

Citation de: basilix le 17 février 2025 à 06:12:48

@sebd48:

Une clarification s'impose.

Je vois qu'on ne désigne pas les choses de la même façon. Les caractères dont tu parles sont des chiffres hexadécimaux. Ces chiffres représentent
un encodage binaire de l'option d'authentification. Traiter un chiffre hexadécimal comme une unité n'est pas la bonne façon pour caractériser un encodage.
L'Humain peut lire naturellement et efficacement un texte constitué de caractères mais ne pourra pas lire littéralement une information codée en binaire.

33 octets sont véritablement variables dans l'option d’authentification : un caractère aléatoire (1), la chaîne aléatoire (16), le code de hachage (16).
Le RFC 3118 spécifie également que l'information d'authentification du protocole « Configuration Token » est de nature opaque. Néanmoins, sur ce
forum, cette valeur « Orange » a été analysé pour comprendre comment la générer. Jusqu'à preuve du contraire le problème ne vient donc pas de là.

Merci pour tous ces détails ! Ce n'est pas en effet quelque chose que je métrise donc c'est tout à fait normal si je n'utilise pas les bon termes. Néanmoins, j'ai pense avoir compris ce que j'avais besoin de comprendre pour avancer et c'est cela que j'essayais d'exprimer.

Je tiens quand même à dire que je n'ai jamais dit que les problèmes venaient de la. Je ne comprend pas cette allusion. J'ai simplement posé une question sur un point que je ne métrise pas et qui m'intriguait par rapport à ce que j'avais lu. C'est tout !
Je suis bloqué actuellement au fait que les paquets ne soient pas marqués COS6 en sortie. Je n'en suis malheureusement pas encore à devoir debug les options DHCP. Je serais d'ailleur content si j'arrive à cette étape la un jour

Bonne semaine !

basilix · « **Réponse #105 le:** 17 février 2025 à 12:36:56 »

@sebd48:

Je me suis mal exprimé. Ton problème actuel est de réussir à appliquer la CoS requise pour certains paquets sur un FortiGate.
Ce n'était pas une allusion mais plutôt une manière maladroite de refermer la parenthèse sur l'authentification.

sebd48 · « **Réponse #106 le:** 05 mars 2025 à 09:45:49 »

Je reviens pour donner quelques nouvelles.
Les derniers tests que j'avais fait avec mon Fortigate en v7.6 pour marquer les paquets DHCP en COS6 avec la conf donnée ci-dessus n'avaient pas été concluant.
J'avais ouvert un ticket chez Fortinet car cela ne me semblait pas normal du fait que ma configuration était bonne. J'ai eu lundi la confirmation du support Fortinet qu'ils ont réussi à reproduire le prob et qu'ils ont escaladés aux dev pour que ce soit fixé dans une prochaine release.
Dès que cela sera fait, je reprendrais les tests.
Donc à tout ceux qui ont un Fortigate et qui veulent tester de remplacer la livebox sans passer par un switch intermédiaire, pour le moment, c'est normal si vous n'y arrivez pas.

nscheffer · « **Réponse #107 le:** 06 mars 2025 à 15:28:04 »

Citation de: sebd48 le 05 mars 2025 à 09:45:49

Je reviens pour donner quelques nouvelles.
Les derniers tests que j'avais fait avec mon Fortigate en v7.6 pour marquer les paquets DHCP en COS6 avec la conf donnée ci-dessus n'avaient pas été concluant.
J'avais ouvert un ticket chez Fortinet car cela ne me semblait pas normal du fait que ma configuration était bonne. J'ai eu lundi la confirmation du support Fortinet qu'ils ont réussi à reproduire le prob et qu'ils ont escaladés aux dev pour que ce soit fixé dans une prochaine release.
Dès que cela sera fait, je reprendrais les tests.
Donc à tout ceux qui ont un Fortigate et qui veulent tester de remplacer la livebox sans passer par un switch intermédiaire, pour le moment, c'est normal si vous n'y arrivez pas.

Pour info tu as le numéro de ticket stp ?