Auteur Sujet: Remplacer la LiveBox par un Fortigate (Lu 60683 fois)

phalanx · « **Réponse #120 le:** 29 juin 2025 à 14:18:51 »

Bonjour,

J'ai réussi à récupérer une ipv4 sur un forti 90G en 7.6.3 avec cos6 via switch (ko en natif via cos6 forti comme expliqué ici)
En revanche impossible d'avoir de l'ip v6

Les valeurs hexa des différentes options restent les mêmes en V4 et v6 ?

(hormis les codes qui sont différent 90 = 11 par exemple)
j'ai bien la cos6 sur les ports dhcp v6 via le switch

Je suis une offre sosh avec livebox S qui envoie les options 25/11/15/16
pas d'options 17 observé en envoie de la livebox

et la 25 pas vu ailleurs (autre thread ou ici)
avec ou sans options 25 et/ou 17 pas de changement observé sur le dhcp v6 côté forti

Si une personne à une idée sur les options différentes entre v4/v6 (ou si c'est censé être identique et fonctionnel sur les autres LB du moins)
merci

nscheffer · « **Réponse #121 le:** 30 juin 2025 à 15:19:27 »

Citation de: phalanx le 29 juin 2025 à 14:18:51

Bonjour,

J'ai réussi à récupérer une ipv4 sur un forti 90G en 7.6.3 avec cos6 via switch (ko en natif via cos6 forti comme expliqué ici)
En revanche impossible d'avoir de l'ip v6

Les valeurs hexa des différentes options restent les mêmes en V4 et v6 ?

(hormis les codes qui sont différent 90 = 11 par exemple)
j'ai bien la cos6 sur les ports dhcp v6 via le switch

Je suis une offre sosh avec livebox S qui envoie les options 25/11/15/16
pas d'options 17 observé en envoie de la livebox

et la 25 pas vu ailleurs (autre thread ou ici)
avec ou sans options 25 et/ou 17 pas de changement observé sur le dhcp v6 côté forti

Si une personne à une idée sur les options différentes entre v4/v6 (ou si c'est censé être identique et fonctionnel sur les autres LB du moins)
merci

Bonjour,

Attention pour IPv6 tu ne fais pas une requête DHCP mais une demande de prefix /56

Je sais pas si tu dois donner un IAPD, car quand tu es derrière la Livebox tu dois demander un prefix /64 uniquement avec un IAPD=0 ou 1.

le site suivant est intéressant sur le sujet ipv6 :
https://x0r.fr/blog/76

simon · « **Réponse #122 le:** 30 juin 2025 à 15:37:02 »

L'IA_ID donné dans l'option IA_PD n'a pas d'importance côté WAN. Dans mes traces, c'est toujours 1, mais il me semble que 0 fonctionne aussi.

Vérifies que l'option Client Identifier (option 1) contient bien l'adresse MAC de l'interface qui émet les requêtes DHCPv6/v4 (DUID type: link layer address).
Dans les options 11 et 90, j'envoie strictement la même chose et cela fonctionne.

basilix · « **Réponse #123 le:** 01 juillet 2025 à 09:04:01 »

Citation de: nscheffer

Je sais pas si tu dois donner un IAPD, car quand tu es derrière la Livebox tu dois demander un prefix /64 uniquement avec un IAPD=0 ou 1.

L'IAID est un identifiant défini par le client. Il doit être unique pour un type d'association d'identité. Deux clients peuvent avoir le même IAID.
Une liaison DHCP dans le serveur est identifiée par le tuple DUID + type IA + IAID. Cela permet de différencier les interfaces d'un client.

Type d'association d'identité (IA)

IA_NA (Identity Association for Non temporary Address)
IA_TA (Identity Association for Temporary Address)
IA_PD (Identity Association for Prefix Delegation)

Source : RFC8415

La Livebox encode son IAID (4 octets) avec les huit derniers chiffres hexadécimaux de sa MAC. C'est éventuellement utile à savoir lorsqu'on remplace la Livebox.
Car le serveur Orange renvoie logiquement le même bail que celui attribué à la Livebox lorsqu'on fait la substitution (même DUID et IAID).

Citation de: phalanx

Je suis une offre sosh avec livebox S qui envoie les options 25/11/15/16

pas d'options 17 observé en envoie de la livebox

et la 25 pas vu ailleurs (autre thread ou ici)
avec ou sans options 25 et/ou 17 pas de changement observé sur le dhcp v6 côté forti

L'option 25 c'est l'option « association d'identité pour une délégation de préfixe » (IA_PD). L'option 16 est l'option « classe vendeur ».
C'est le serveur Orange qui renvoie les options 125 (DHCPv4) et 17 (DHCPv6) « vendor options ».

Citation de: simon

Dans les options 11 et 90, j'envoie strictement la même chose et cela fonctionne.

C'est le même protocole « Token configuration » qui est utilisé dans la configuration Orange DHCPv4/v6. Ce qui diffère par rapport au
standard RFC3118 c'est la manière de générer ce token (façon CHAP revisitée).

simon · « **Réponse #124 le:** 01 juillet 2025 à 14:26:37 »

Citation de: basilix le 01 juillet 2025 à 09:04:01

L'IAID est un identifiant défini par le client. Il doit être unique pour un type d'association d'identité. Deux clients peuvent avoir le même IAID.
Une liaison DHCP dans le serveur est identifiée par le tuple DUID + type IA + IAID. Cela permet de différencier les interfaces d'un client.

Oui, ca c'est la RFC. Ensuite, il y a l'interprétation de la RFC par Orange :-)
Et autant côté WAN tu peux envoyer l'ID que tu veux, autant derrière une Livebox, tu es contraint pour des raisons assez impénétrables il me semble...

basilix · « **Réponse #125 le:** 01 juillet 2025 à 14:56:27 »

@simon :

Ah, je ne le savais pas ! Orange n'informe pas sur le sujet, je trouve que c'est dommage.

Sinon, dans mes souvenirs, un routeur placé derrière une Livebox obtient son préfixe sans paramétrage.

simon · « **Réponse #126 le:** 01 juillet 2025 à 14:58:53 »

C'est peut-être corrigé, je ne sais pas. nscheffer en saura plus que moi, je n'ai jamais utilisé la Livebox plus de 10 minutes...

Orange ne dit pas non plus que seul un /64 peut (pouvait?) être délégué par la Livebox à la fois, mais des membres de ce forum ont été échaudés par ce bug.

nscheffer · « **Réponse #127 le:** 02 juillet 2025 à 09:53:21 »

Citation de: simon le 01 juillet 2025 à 14:58:53

C'est peut-être corrigé, je ne sais pas. nscheffer en saura plus que moi, je n'ai jamais utilisé la Livebox plus de 10 minutes...

Orange ne dit pas non plus que seul un /64 peut (pouvait?) être délégué par la Livebox à la fois, mais des membres de ce forum ont été échaudés par ce bug.

Ca marche très bien derrière la Livebox pour demander un prefix /64 en automatique, dans mon cas AppleTV ou HomePod (celui qui est master/actif) demande un /64 pour leur réseau Thread.

Par contre j'ai jamais été dans la situation ou j'aurai besoin de plus d'un /64 en demande automatique.

phalanx · « **Réponse #128 le:** 19 août 2025 à 10:56:27 »

Merci pour vos retours, j'ai pu avancer de mon côté mais je bloque toujours.
forti 90g en 7.6.3 avec cos6 sur le switch

en V6 j'envoie bien les options 1 11 15 16 et reçoit bien une réponse en retour du dhcp avec code ok dans l'option 17 (cf conformité dhcp tout est ok)

Je vois bien le /56 en retour mais le fortigate ne semble rien en faire.

En debug dhcp il reste sur :

Code: [Sélectionner]

[debug]dhcp6_get_options() get DHCP option authentication, len 27
[debug]   proto: unknown(0), alg: unknown(0), RDM: mono counter, RD: 0000 0000 0000 0000
[info]dhcp6_get_options() unsupported authentication protocol: 0
[info]client6_recv() failed to parse options

Ce qui correspond à l'option 11 dans le retour du serveur dhcp.

Est ce un comportement normal/non bloquant ?

Et sur le comportement plus général :
-l'interface wan n'obtient pas d'ip ? (elle fait juste passe plat dhcp vers les interfaces lan)
-Les interfaces lan sont en mode délégué vers le wan qui lui est en dhcp ?

A ce stade je n'ai plus rien après avoir recu le retour du dhcp avec le /56 tout semble ensuite ignoré

Niveau conf sur les interfaces :

wan :

Code: [Sélectionner]

config ipv6
            set ip6-mode dhcp
            config client-options
                edit xx
            end
            set ip6-allowaccess ping
            set dhcp6-prefix-delegation enable
            config dhcp6-iapd-list
                edit 1
                    set prefix-hint ::/56
                next
            end
        end

Sur le lan :

Code: [Sélectionner]

      
config ipv6
            set ip6-mode delegated
            set ip6-allowaccess ping
            set ip6-send-adv enable
            set ip6-manage-flag enable
            set ip6-other-flag enable
            set ip6-max-interval 30
            set ip6-min-interval 10
            set ip6-delegated-prefix-iaid 1
            set ip6-upstream-interface "xx"
            set ip6-subnet ::/64
        end

nscheffer · « **Réponse #129 le:** 19 août 2025 à 11:32:56 »

Sur l’interface wan

Code: [Sélectionner]

config system interface
edit wan_name
get

le résultat d’un get donne quoi ?
Idem sur l’interface lan

phalanx · « **Réponse #130 le:** 19 août 2025 à 11:45:35 »

résultat du get pour la partie v6 :

wan

Code: [Sélectionner]

ipv6:
    ip6-mode            : dhcp
DHCPv6 Lease Expires    :
    client-options:
        == [ 11 ]
        id:         11           code: 11                   value: xx
        == [ 15 ]
        id:         15           code: 15                   value: xx
        == [ 16 ]
        id:         16           code: 16                   value: xx
        == [ 1 ]
        id:         1           code: 1                   value: xx
    nd-mode             : basic
    ip6-address         : ::/0
    ip6-allowaccess     : ping
    icmp6-send-redirect : enable
    ra-send-mtu         : enable
    ip6-reachable-time  : 0
    ip6-retrans-time    : 0
    ip6-hop-limit       : 0
    ip6-route-pref      : medium
    dhcp6-prefix-delegation: enable
delegated-prefix iaid 1     : ::/0
preferred-life-time         : 0
valid-life-time     : 0
delegated-DNS1      : ::
delegated-DNS2      : ::
delegated-domain          :
    cli-conn6-status    : 3
    vrrp-virtual-mac6   : disable
    vrip6_link_local    : ::
    dhcp6-iapd-list:
        == [ 1 ]
        iaid:         1           prefix-hint: ::/56                   prefix-hint-plt: 604800                   prefix-hint-vlt: 2592000
dhcp-relay-source-ip: 0.0.0.0
dhcp-relay-circuit-id:
dhcp-client-identifier:
dhcp-renew-time     : 0
idle-timeout        : 0
detected-peer-mtu   : 0
disc-retry-timeout  : 1
padt-retry-timeout  : 1
defaultgw           : enable
DHCP Gateway        : ip V4 recu x.x.x.x
Lease Expires       : Fri Aug 22 10:13:51 2025
dns-server-override : enable
Acquired DNS1       : 80.10.246.134
Acquired DNS2       : 81.253.149.5
dns-server-protocol : cleartext
pptp-client         : disable
wccp                : disable
drop-fragment       : disable
interface           : xxx
mtu-override        : disable
vlanid              : 832

lan

Code: [Sélectionner]

ipv6:
    ip6-mode            :
    nd-mode             : basic
    ip6-address         : ::/0
    ip6-allowaccess     : ping
    icmp6-send-redirect : enable
    ra-send-mtu         : enable
    ip6-reachable-time  : 0
    ip6-retrans-time    : 0
    ip6-hop-limit       : 0
    ip6-prefix-mode     : dhcp6
    dhcp6-prefix-delegation: disable
delegated-DNS1      : ::
delegated-DNS2      : ::
delegated-domain          :
    dhcp6-information-request: disable
    cli-conn6-status    : 0
    vrrp-virtual-mac6   : disable
    vrip6_link_local    : ::
    ip6-send-adv        : enable
    ip6-manage-flag     : enable
    ip6-other-flag      : enable
    ip6-max-interval    : 30
    ip6-min-interval    : 10
    ip6-link-mtu        : 0
    ip6-default-life    : 1800
    ip6-adv-rio         : disable
    ip6-delegated-prefix-iaid: 1
    ip6-upstream-interface: wanxx
    ip6-subnet          : ::1/64
    ip6-delegated-prefix-list:
        == [ 1 ]
        prefix-id:         1           upstream-interface: wanxx                    delegated-prefix-iaid: 1                   autonomous-flag: enable                    onlink-flag: enable                    subnet: ::/0  
priority            : 1
dhcp-relay-source-ip: 0.0.0.0
dhcp-relay-circuit-id:
dhcp-client-identifier:
dhcp-renew-time     : 0
idle-timeout        : 0
detected-peer-mtu   : 0
disc-retry-timeout  : 1
padt-retry-timeout  : 1
dns-server-override : enable
Acquired DNS1       : 0.0.0.0
Acquired DNS2       : 0.0.0.0
dns-server-protocol : cleartext
wccp                : disable
drop-fragment       : disable
interface           : wanxx
mtu-override        : disable
vlanid              : x

nscheffer · « **Réponse #131 le:** 19 août 2025 à 12:02:30 »

Je n'ai sous la main qu'un FortiGate derrière une Livebox mais le principe est le même sauf qu'au lieu de demander un /56 on demande un /64.
Pour la config sur le wan tu devrai avoir qq chose comme :

Code: [Sélectionner]

        config ipv6
            set ip6-allowaccess ping
            set dhcp6-prefix-delegation enable
            set autoconf enable
            config dhcp6-iapd-list
                edit 1
                    set prefix-hint ::/64
                next
            end
        end

Et si tu fais un get tu vois bien le /64 que l'on récupère :

Code: [Sélectionner]

fgt91g-paris (ipv6) # get
ip6-mode            : static
nd-mode             : basic 
ip6-address         : 2a01:cb00:xxxx:xxxx:4a3a:2ff:fea3:91f2/64
ip6-allowaccess     : ping 
icmp6-send-redirect : enable 
ra-send-mtu         : enable 
ip6-reachable-time  : 0
ip6-retrans-time    : 0
ip6-hop-limit       : 0
ip6-route-pref      : medium 
dhcp6-prefix-delegation: enable
delegated-prefix iaid 1     : ::/0
preferred-life-time         : 0
valid-life-time     : 0
delegated-DNS1      : ::
delegated-DNS2      : ::
delegated-domain          : 
cli-conn6-status    : 0
vrrp-virtual-mac6   : disable 
vrip6_link_local    : ::
ip6-dns-server-override: enable
Acquired DNS1       : ::
Acquired DNS2       : ::
ip6-extra-addr:
ip6-send-adv        : disable 
autoconf            : enable
prefix      : 2a01:cb00:xxxx:xxxx::/64
preferred-life-time         : 1476526080
valid-life-time     : 134676480
unique-autoconf-addr: disable 
interface-identifier: ::
dhcp6-relay-service : disable 
dhcp6-iapd-list:
    == [ 1 ]
    iaid:     1       prefix-hint: ::/64           prefix-hint-plt: 604800           prefix-hint-vlt: 2592000