La Fibre

Datacenter et équipements réseaux => Routeurs => Orange fibre Remplacer la LiveBox par un routeur => Discussion démarrée par: zommak le 21 novembre 2015 à 02:07:11

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zommak le 21 novembre 2015 à 02:07:11
Bonjour,

Comme il semble qu'orange commence à modifier deux trois choses pour l'arrivée de l'ipv6, voici les explicatif pour récupérer son ipv4 et son préfix ipv6 en DHCP/DHCPv6-pd. Dans l'ordre explication sous linux - OpenBSD.

Orange utilise l'option 90 mais il l'utilise uniquement pour échanger un token qui contient le nom d'utilisateur du compte orange ( fti/******* )
dhclient ne supporte pas cette option par défaut mais comme orange ne vérifie pas le RDM ni n'utilise aucune des fonctions de hashage que décrit la RFC 3118 on peut simuler l'envoie de l'option, en définissant à la main la séquence en hexadécimal à envoyer. Il vous faudra donc convertir les caractères après fti/ pour les placer à la suite de la séquence que j'ai déjà mise. chaque octet est séparé par :

pour ce qui est du fichier de configuration /etc/dhclient_eth0_832.conf
send vendor-class-identifier = "sagem";
option userclass code 77 = string;
send userclass 2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:33;
option authsend code 90 = string;
send authsend 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*; ## remplacez les étoiles par ce qui suis fti/* convertie en hexadécimal
mon userclass est définit manuellement car il semble qu'il y ai un bug si j'utilise l'option préexistante (en tout cas sur mon ordinateur)
la requête dhcp doit être faite sur le vlan832 avec au moins le vlan835 off sinon la requête n'aura pas de réponse

La priorité doit être de 6 pour les paquets ICMPv6, ARP, DHCP, DHCPv6-pd (!! il semble que certain ont pu se connecter sans passer les prio à 6 !!)
La priorité doit être de 5 pour les paquets VOIP (!! mais si cette prio n'est pas respecté la VOIP passe quand même!!)

Le problème c'est que les paquets envoyé par le client DHCP ne passent pas au travers d'iptables, (une histoire de raw socket) du coups la solution proposé par Zoc est de tagguer par défaut la priorité 6 sur tout les paquets puis d'ajouter un filtre changeant de file tout les autres paquets
A executer à chaque démarrage
for i in 0 1 2 3 4 5 6 7; do
## on définit pour chaque file une priorité
    vconfig set_egress_map eth0.832 $i $i >/dev/null
done
## On modifie la priorité de la file 1 à 0 c'est là qu'on renverra tout nos paquets, la file 0 qui est celle par défaut passe à 6
    vconfig set_egress_map eth0.832 1 0 >/dev/null
    vconfig set_egress_map eth0.832 0 6 >/dev/null

Il faut ajouter des règles à la tables mangle, c'est elle qui remettra tous les paquets or ceux destiné au réseau et à la VOIP dans la file 1
##IPV4
## Tout les protocoles changent de file vers le skb 01 dont on a mis la prio à 0
iptables -t mangle -A POSTROUTING -o eth0.832 -j CLASSIFY --set-class 0000:0001
##On maintient les paquets réseaux dans une file à prio 6
iptables -t mangle -A POSTROUTING -o eth0.832 -p igmp -j CLASSIFY --set-class 0000:0006
iptables -t mangle -A POSTROUTING -o eth0.832 -p icmp -j CLASSIFY --set-class 0000:0006
##Les paquets VOIP(téléphonie orange) sont taggués EF ont les met en prio 5
iptables -t mangle -A POSTROUTING -o eth0.832 -m dscp --dscp 0x2e -j CLASSIFY --set-class 0000:0005
##Si votre client DHCP n'utilise pas les raw socket il faut envoyer les paquet DHCP dans la file 6 (prio 6)
iptables -t mangle -A POSTROUTING -o eth0.832 -p udp --dport 67 -j CLASSIFY --set-class 0000:0006
##IPV6
## Tout les protocoles changent de file vers le skb 01 dont on a mis la prio à 0
ip6tables -t mangle -A POSTROUTING -o eth0.832 -j CLASSIFY --set-class 0000:0001
##On maintient les paquets réseaux dans une file à prio 6
ip6tables -t mangle -A POSTROUTING -o eth0.832 -p ipv6-icmp -j CLASSIFY --set-class 0000:0006
##Si votre client DHCPv6 n'utilise pas les raw socket il faut envoyer les paquet DHCPv6 dans la file 6 (prio 6) (c'est le cas de dibbler)
ip6tables -t mangle -A POSTROUTING -o eth0.832 -p udp --dport 547 -j CLASSIFY --set-class 0000:0006

On démarre le client uniquement en ipv4 pour le moment c'est un autre client qui récupère le préfixe IPV6
dhclient -4 -cf /etc/dhclient_eth0_832.conf eth0.832



Normalement ça permet d'avoir une ipv4 sans pppoe,la configuration de l'ipv6 se fait un peu plus loin.

UPDATE1: SERVEUR DHCP POUR AVOIR LA LIVEBOX EN CLIENT
On peut maintenant utiliser un serveur DHCP pour configurer la box et la mettre en client du serveur. Ici on est plutôt avantagé par le fonctionnement de l'authentification en mode token parce que la séquence renvoyé par le serveur est toujours la même et qu'on peut donc définir la séquence hexadecimal à envoyer. Pour ceux qui veulent aussi donner une ipv6 à la box : https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/msg283918/#msg283918 (https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/msg283918/#msg283918)
voilà la section spécifique à la box dans le fichier de conf pour le serveur dhcp, la section host est nécessaire parce que seule ma box reçoit les DNS d'orange, l'es autres ordis de mon réseaux utilisent d'autres DNS.
Uniquement de l'ipv4 ici de toute façon pour le moment il n'y a pas vraiment besoin de donner une ipv6 à la box.
Si ça ne marche pas pour le téléphone c'est peut être que le serveur SIP renvoyé n'est pas le même pour tout les clients. dans ce cas vous devrez récupérer la séquence hexadecimal avec wireshark
option authsend code 90 = string;
option authsend 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;
option SIP code 120 = string;
option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;

host livebox { 
        hardware ethernet 00:00:00:00:00:00;   ## adresse mac de la box
        fixed-address 192.168.*.*;  ## adapter selon votre subnet
        option routers 192.168.*.*; ## adapter selon l'adresse de votre routeur
        option domain-name-servers 81.253.149.1, 80.10.246.130;
 }



Zoc propose un script bash pour convertir votre pseudo en hex, et a indiqué la marche à suivre pour ajouter l'authentification dans l'ERL

Hex:
Ci-dessous un script "quick and dirty" en bash (exécution validée sur un ERL) pour générer la séquence d'octets à partir de votre identifiant (il faut passer en paramètre au script ce qui se trouve après "fti/" en respectant la casse:

#!/bin/bash

USERNAME=$1
AUTHSTRING=00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f

for (( i=0; i<${#USERNAME}; i++ )); do
        HEXCHAR=$(echo -n ${USERNAME:$i:1} | od -An -txC | xargs)
        AUTHSTRING=${AUTHSTRING}:${HEXCHAR}
done
echo ${AUTHSTRING}

Exemple d'execution (non, ce n'est pas mon identifiant  :P ):
root@gateway:/config/scripts# ./generator.sh 7kgtyop
00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:37:6b:67:74:79:6f:70

UPDATE2: IPV6
j'ai utilisé un client qui s'appelle dibbler qui permet aussi d'envoyer des options manuelles. il m'a juste fallut mettre l'option d'authentification en double pour que ça marche (sinon le message REQUEST se faisait sans authentification)
J'ai obtenu mon prefix V6 et je le diffuse sur mon réseau avec radvd

/etc/dibbler/client.conf
downlink-prefix-ifaces "none" #On veut gérer le prefix nous même
script "/etc/dibbler/radvd.sh" #script pour générer la configuration radvd
iface "eth0.832" {
pd ### on demande une délégation de prefix ipv6 (c'est un /56)
option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*
}

/etc/dibbler/radvd.sh
#!/bin/bash
if [ $SRV_MESSAGE = "REPLY" ]
then
#!/bin/bash
LAN=net0
WAN=eth0.832
taille=${#PREFIX1}
taille=$((taille-4))

cat > /etc/radvd.conf << EOF
interface ${LAN}
{
     AdvSendAdvert on;
     prefix ${PREFIX1:0:taille}10::/64
     {

         AdvOnLink on;
         AdvPreferredLifetime 86400;
         AdvValidLifetime 86400;
         AdvAutonomous on;
   # AdvRouterAddr on;
     };
RDNSS ${PREFIX1:0:taille}10::1
        {
                AdvRDNSSLifetime 30;
        };
};
EOF

mv /etc/ip6deconf-new.sh /etc/ip6deconf-old.sh
cat > /etc/ip6conf.sh << EOF
/etc/ip6deconf-old.sh
ip -6 route add fe80::ba0:bab dev ${WAN}
ip -6 route add default via fe80::ba0:bab dev ${WAN}
ip -6 route add ${PREFIX1:0:taille}10::/64 dev ${LAN}
ip -6 addr add ${PREFIX1:0:taille}10::1/64 dev ${LAN}
systemctl restart radvd ##J'utilise systemd pour gérer mes démons et donc pour redemarrer radvd
EOF
cat > /etc/ip6deconf-new.sh << EOF
ip -6 route del fe80::ba0:bab dev ${WAN}
ip -6 route del default via fe80::ba0:bab dev ${WAN}
ip -6 route del ${PREFIX1:0:taille}10:: dev ${LAN}
ip -6 addr del ${PREFIX1:0:taille}10::1/64 dev ${LAN}
EOF
chmod +x /etc/ip6conf.sh
chmod +x /etc/ip6deconf-new.sh
/etc/ip6conf.sh
else
echo "Warning error" > /etc/dibbler/radvd.cfg
fi

Contrairement à dhclient-isc, dibbler n'utilise pas de raw socket et ses packet passent dans netfilter il faut donc faire attention à ouvrir le bon port pour le client
ip6tables -A INPUT -i eth0.832 -p udp --dport 546 -j ACCEPT

-------------------------------------------------------------------------
Pour l'ERL proposé par zoc, Cette proposition nécessite d'être testé par quelqu'un possédant l'ERL dans une zone basculé en DHCP

Pour l'ERL il suffira donc de patcher le fichier perl qui génère le fichier de configuration DHCP. Pas très difficile.

Update: Alors, pour un firmware 1.7 (et sans doute suivants), il faut modifier le fichier /opt/vyatta/sbin/vyatta-interfaces.pl. Rechercher la ligne

$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";
et rajouter en dessous

$output .= "option rfc3118-auth code 90 = string;\n\n";
Puis rebooter l'ERL. A partir de ce moment, il devrait (je mets au conditionnel car je n'ai pas encore testé) être possible de faire

set interfaces ethernet eth1 dhcp-options client-option "send rfc3118-auth xx:xx:xx:xx:xx:.....;"
dans le fichier de config de l'ERL ;)

-------------------------------------------------------------------------
Pour OpenBSD Nerzhul propose une configuration pour openbsd
Doc quasi complète, à finaliser

Voici la configuration PF à appliquer pour être optimal avec de la sécurité sur IPv4 et IPv6 en bénéficiant du stateful PF, donc protégeant un maximum les hôtes locaux en IPv6 visibles d'Internet. Pas besoin de marquage ou quoi que ce soit, que ce soit en TCP,UDP,ICMP, IPv4 ou IPv6 le débit est au top avec cette configuration PF
wan_iface="vlan832"
table <lan_v4> { 192.168.1.0/24 172.16.9.0/23 }
# Persist table to change it with dibbler and don't flush it on firewall modification
table <lan_v6> persist

block log               # block stateless traffic
pass keep state         # establish keep-state
block in log quick on $wan_iface inet proto tcp to port { ssh http } # Block ssh and http from WAN
block in log quick on $wan_iface inet proto udp to port { syslog domain } # Block DNS and syslog from WAN
block in log quick on $wan_iface inet6 proto tcp to port { ssh http } # Block ssh and http from WAN
block in log quick on $wan_iface inet6 proto udp to port { syslog domain } # Block DNS and syslog from WAN
block in log quick on $wan_iface inet6 to <lan_v6> # Block incoming IPv6 trafic non sollicited by local LAN hosts

# Tag every TCP packets on wan interface with vlan priority 0 (1 in PF because of 802.1p), in IPv4 & IPv6
match out on $wan_iface proto { tcp udp } set prio 1
# nat clients to wan interface in IPv6
pass out quick on $wan_iface inet from <lan_v4> nat-to ($wan_iface) keep state
pass out quick on $wan_iface inet6 from <lan_v6> keep state

Configuration du dhclient natif OpenBSD
interface "vlan832" {
        send dhcp-class-identifier "sagem";
        send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
        send option-90 00:00:00:00:00:00:00:00:00:00:00:66:74:69:XX:XX:XX:XX:XX:XX:XX:XX;
}

Puis activation au boot:
echo "dhclient vlan832&" >> /etc/rc.local

Configuration de dibbler 1.0.1 compilé (/etc/dibbler/client.conf)
downlink-prefix-ifaces "none"
script "/etc/dibbler/rtadvd.sh"
iface "vlan832" {
        pd
        option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
        option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:xxxx
66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
        option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:xx:xx:xx:xx:xx:xx:xx:xx:xx
        option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:xx:xx:xx:xx:xx:xx:xx:xx:xx
}
Tout comme sous Linux, il est obligatoire d'avoir 2x l'option 11
A revérifier mais pas besoin de mettre la route par défaut dibbler la met automatiquement sous OpenBSD (il faut le lancer en root)
default                            fe80::ba0:bab%vlan832          UG         0    13235     -    56 vlan832

Concernant le router advertisement OpenBSD fournit l'outil natif pour le faire. Voici le script (à améliorer pour ajouter les DNS locaux au routeur dedans). Remplacez vether0 par le nom de l'interface de votre LAN (dans mon cas vether0 est une interface loopback branchée sur un bridge contenant quelques interfaces de mon LAN)

#! /bin/sh
if [ $SRV_MESSAGE = "REPLY" ]; then
cat >/etc/rtadvd.conf <<EOF
vether0:\\
        :addr="${PREFIX1}":prefixlen#64:

EOF

# Set rtadvd starting flags, adding prefix to PF for setting the correct firewall outgoing rules
rcctl set rtadvd flags " vether0"
pfctl -t lan_v6 -T flush
pfctl -t lan_v6 -T add "${PREFIX1}/64"

# restart rtadvd
for P in $(pgrep rtadvd); do
        kill ${P}
done
rcctl start rtadvd



Merci à kgersen et zoc pour leur aide
Merci à Nerzhul pour le tuto openbsd
Titre: Remplacer la livebox sans pppoe
Posté par: zoc le 21 novembre 2015 à 10:23:33
Je me disais bien que c'était trop beau qu'Orange puisse utiliser un client DHCP standard (et en même temps je m'en doutais vu que j'avais déjà remarqué les DHCP discover avec l'option 90 sur mes différentes captures Wireshark)...

Ca promet pour nos ERL (D'autant plus qu'Ubiquiti n'utilise pas DHCPCD mais ISC-DHCP qui ne supporte pas du tout l'authentification par l'option 90)...

Question : Est-ce que PPPoE reste actif. Autrement dit le jour ou DHCP est déployé pour moi mon ERL configuré en PPPoE va-t-il cesser de fonctionner ?
Titre: Remplacer la livebox sans pppoe
Posté par: Breizh 29 le 21 novembre 2015 à 11:10:39
Je me disais bien que c'était trop beau qu'Orange puisse utiliser un client DHCP standard (et en même temps je m'en doutais vu que j'avais déjà remarqué les DHCP discover avec l'option 90 sur mes différentes captures Wireshark)...

Ca promet pour nos ERL (D'autant plus qu'Ubiquiti n'utilise pas DHCPCD mais ISC-DHCP qui ne supporte pas du tout l'authentification par l'option 90)...

Question : Est-ce que PPPoE reste actif. Autrement dit le jour ou DHCP est déployé pour moi mon ERL configuré en PPPoE va-t-il cesser de fonctionner ?


Petrus a dit ici que PPPoE resterai actif.
C'est bien du dhcp + dhcp6-pd.

La possibilité de connexion ppp ne va pas disparaitre comme ça, il y en a encore pour quelques années. Par contre, pas d'ipv6 en ppp. Et je pense pas que ppp pour le v4 et dhcp pour le v6 soit possible (a tester).
Titre: Remplacer la livebox sans pppoe
Posté par: kgersen le 21 novembre 2015 à 11:36:41
Ca n'est pas clair si l'OP anticipe l'arrivée de DHCP sur la sa ligne ou si elle est déjà en DHCP et il essai de configurer son ERL en DHCP ?
Titre: Remplacer la livebox sans pppoe
Posté par: zoc le 21 novembre 2015 à 11:43:59
Il dit qu'il a des problèmes de débit montant en DHCP sans Livebox. Donc j'imagine que sa ligne est déjà en DHCP. Et rien ne dit qu'il utilise un ERL (J'aurais même tendance à croire qu'il utilise plutôt Linux sur un PC).

Titre: Remplacer la livebox sans pppoe
Posté par: zoc le 21 novembre 2015 à 11:48:34
Petrus a dit ici que PPPoE resterai actif.
Oui, je sais, c'est moi qui lui avait posé la question  ;D

Je voulais un retour d'expérience d'un client. Ce n'est pas que je fasse pas confiance à Petrus (au contraire, il nous avait annoncé DHCP + DHCP6-PD depuis longtemps), mais d'un autre coté dans un fil il dit aussi que le bail serait beaucoup plus long que 7 jours, et en pratique tu rebootes la box tu changes d'IP d'après les premiers retours. Maintenant, c'est aussi vrai qu'un reboot ce n'est pas la même chose qu'un renouvellement de bail...
Titre: Remplacer la livebox sans pppoe
Posté par: kgersen le 21 novembre 2015 à 12:14:21
Et rien ne dit qu'il utilise un ERL (J'aurais même tendance à croire qu'il utilise plutôt Linux sur un PC).

ah oui exact j'avait complètement zappé ce fait. ;D
Titre: Remplacer la livebox sans pppoe
Posté par: BM92 le 21 novembre 2015 à 19:12:37
On ne vas quant même pas mettre nos routeurs Ubiquiti a la poubelle !!!  >:( ;D
Titre: Remplacer la livebox sans pppoe
Posté par: zommak le 21 novembre 2015 à 19:18:29
Oui l'ordi en question est une carte ARM sous linux ce n'est pas un ERL.
Sur les ERL vous n'avez pas la possibilité de compiler vos propre paquet pour utiliser un client DHCP différent?

Je peux me connecter aussi bien en DHCP qu'en PPP pour le moment par contre pour que le DHCP fonctionne il faut couper la connexion PPP et désactiver le vlan 835 après quelques minutes le serveur DHCP commence à répondre aux requêtes.

Au niveau de l'ip, j'ai commencé mes tests il y a 2  semaines et j'ai l'impression que l'ip qui m'est attribuée est toujours la même. Même quand je retourne à une connexion ppp pendant quelques jours (qui elle a une ip qui change à chaque connexion) quand je reviens sur le dhcp je récupère mon ip d'il y a 2 semaines. Je verrai combien de temps elle m'est reservé, je devrais avoir un peu de temps la semaine prochaine pour essayer d'améliorer tout ça.

Dernière chose, j'ai commencé parce que j'ai vu qu'après un test en rebranchant ma box celle ci était passé en DHCP + DHCPv6, je ne sais pas si la manip est possible pour quelqu'un qui est toujours en PPP avec sa box.
Titre: Remplacer la livebox sans pppoe
Posté par: BM92 le 21 novembre 2015 à 19:28:55
Je serais surpris qu'ils nous passent en IP fixe  :D
Mais bon c'est bientôt Noël  8)
Titre: Remplacer la livebox sans pppoe
Posté par: Breizh 29 le 22 novembre 2015 à 11:16:52
Je suppose, que l'on est reconnu par @mac qui faut renseigner ?
Titre: Remplacer la livebox sans pppoe
Posté par: Breizh 29 le 22 novembre 2015 à 12:06:46
Au niveau de l'ip, j'ai commencé mes tests il y a 2  semaines et j'ai l'impression que l'ip qui m'est attribuée est toujours la même. Même quand je retourne à une connexion ppp pendant quelques jours (qui elle a une ip qui change à chaque connexion) quand je reviens sur le dhcp je récupère mon ip d'il y a 2 semaines. Je verrai combien de temps elle m'est reservé, je devrais avoir un peu de temps la semaine prochaine pour essayer d'améliorer tout ça.
C'est ça la bonne nouvelle, elle reste à confirmer. Orange ne nous a pas habitué à un "bail" infini.
J'ai envie de dire ENFIN.
Titre: Remplacer la livebox sans pppoe
Posté par: zoc le 22 novembre 2015 à 17:46:07
Je suppose, que l'on est reconnu par @mac qui faut renseigner ?
Non, comme indiqué dans son premier message, authentification par option 90 (non supportée par l'ERL...).
Titre: Remplacer la livebox sans pppoe
Posté par: Breizh 29 le 22 novembre 2015 à 18:34:42
Non, comme indiqué dans son premier message, authentification par option 90 (non supportée par l'ERL...).
Oui ok
Je ne sais pas ce qu'est l'option 90.
Titre: Remplacer la livebox sans pppoe
Posté par: zommak le 22 novembre 2015 à 20:30:52
L'option 90 c'est l'option DHCP qui envoie un token d'authentification. Orange a fait le choix de simplement envoyer le login fti/****** . C'est sûrement ça qui est reconnu par le serveur DHCP pour attribuer l'ip.

J'ai modifié mon post original pour ajouter la configuration du serveur DHCP pour garder la box en cliente. J'ai fait un brige du vlan 832 avec les autres interfaces réseaux. Au passage la box se connecte  même si je garde la connexion internet en ppp (comme j'ai toujours des problème de débit pour le momen). Ça permettra à tout ceux qui ont la bonne version de firmware de commencer à virer le pppoe-server et de simplifier la configuration pour avoir la box en client ( besoin que d'un seul vlan le 832 )

Dernier truc, avec le serveur, comme celui ci ne prend pas en charge l'option 90 j'envoie une séquence manuelle en hexadécimal que j'ai récupéré avec wireshark. Je pense qu'on peut faire la même chose avec un client dhcp. Ça permettrait à ceux qui ont un ERL d'utiliser le client dhclient-isc pour se connecter en DHCP. Je vais tenter la chose demain.
Titre: Remplacer la livebox sans pppoe
Posté par: zoc le 22 novembre 2015 à 20:35:34
Dernier truc, avec le serveur, comme celui ci ne prend pas en charge l'option 90 j'envoie une séquence manuelle en hexadécimal que j'ai récupéré avec wireshark. Je pense qu'on peut faire la même chose avec un client dhcp. Ça permettrait à ceux qui ont un ERL d'utiliser le client dhclient-isc pour se connecter en DHCP. Je vais tenter la chose demain.
J'avais pensé essayer ça pour le client DHCP de l'ERL, mais ma crainte c'était le RDM (qui en théorie est sensé s'incrémenter à chaque fois pour éviter les attaques par rejeu). Mais comme tu as dit que chez Orange il est toujours à 0 j'ai espoir qu'on puisse s'en sortir avec ce genre d'astuce...
Titre: Remplacer la livebox sans pppoe
Posté par: zommak le 22 novembre 2015 à 20:46:40
exacte mais comme orange n'effectue aucun controle sur le RDM et utilise exclusivement le token ça ne devrait vraiment pas être un soucis. Sauf que pour le moment je n'ai pas trouvé comment envoyer une option manuel à chaque étape du processus DHCP. Je réessaierai dès que j'ai un peu de temps.
Titre: Remplacer la livebox sans pppoe
Posté par: zoc le 22 novembre 2015 à 21:00:43
A priori il faut définir l'option dans le fichier de config (au niveau global, hors interfaces), du genre:

option rfc3118-auth code 90 = string;
puis dans la configuration spécifique de l'interface:

option rfc3118-auth = xx:xx:xx:xx:xx:xx:.....;
avec xx = valeur entre 0 et 255 (1 octet en fait) en hexa.


Edit: Je viens de voir que c'est ce que tu as fait pour le serveur. Pour moi ça devrait également fonctionner pour le client si je me fie à la doc...
Titre: Remplacer la livebox sans pppoe
Posté par: kgersen le 22 novembre 2015 à 22:08:37
les options dhcp client pour l'ERL sont:

ubnt@ubnt# set interfaces ethernet eth0 dhcp-options client-option ?
Possible completions:
  <text> Additional options for DHCP client. You must
                use the syntax of dhclient.conf in this text-field. Using this
without proper knowledge may result in a crashed DHCP client.
Check system log to look for errors.

par exemple pour le bypass des Neufbox (SFR) on utilise (si eth1 est branché sur l'ONT):

set interfaces ethernet eth1 dhcp-options client-option "send vendor-class-identifier &quot;neufbox6-votre.email@email.com&quot;;"

A priori, il faudrait une option supportée par dhclient.conf(5) (voir dhcp-options(5)), c'est a dire le client ISC-DHCP qui , a priori ne supporte pas l'option 90 (le nom n'est pas définit dans le tableau des options supportées... y'a pas d'option générique pour mettre '90' en dur a ma connaissance).

Donc je le sens mal la ... ca va etre coton avec nos ERL & Orange...il va surement falloir bidouiller pour installer un autre client DHCP.
Titre: Remplacer la livebox sans pppoe
Posté par: petrus le 22 novembre 2015 à 22:28:05

Normalement ça permet d'avoir une ipv4 sans pppoe


Yeah Zommak, tu gères :)
Titre: Remplacer la livebox sans pppoe
Posté par: zommak le 22 novembre 2015 à 23:03:24
En lisant les deux posts mon erreur m'a sauté aux yeux. Quand j'avais essayé j'avais fait ça
option authsend code 90 = string;
option authsend 00:00:00:00.........etc;
send authsend;
Sauf qu'en fait il faut faire ça pour envoyer une commande en temps que client
option authsend code 90 = string;
send authsend  00:00:00:00.........etc;
Je teste ça dès que possible. il faudra juste adapter la séquence hexadécimal et ça devrait le faire

A priori il faut définir l'option dans le fichier de config (au niveau global, hors interfaces), du genre:

option rfc3118-auth code 90 = string;
puis dans la configuration spécifique de l'interface:

option rfc3118-auth = xx:xx:xx:xx:xx:xx:.....;
avec xx = valeur entre 0 et 255 (1 octet en fait) en hexa.


Edit: Je viens de voir que c'est ce que tu as fait pour le serveur. Pour moi ça devrait également fonctionner pour le client si je me fie à la doc...
en fait comme ça on définit une option qui sera envoyé en réponse par exemple à une requête (donc plus pour le côté serveur)


les options dhcp client pour l'ERL sont:

ubnt@ubnt# set interfaces ethernet eth0 dhcp-options client-option ?
Possible completions:
  <text> Additional options for DHCP client. You must
                use the syntax of dhclient.conf in this text-field. Using this
without proper knowledge may result in a crashed DHCP client.
Check system log to look for errors.

par exemple pour le bypass des Neufbox (SFR) on utilise (si eth1 est branché sur l'ONT):

set interfaces ethernet eth1 dhcp-options client-option "send vendor-class-identifier &quot;neufbox6-votre.email@email.com&quot;;"

A priori, il faudrait une option supportée par dhclient.conf(5) (voir dhcp-options(5)), c'est a dire le client ISC-DHCP qui , a priori ne supporte pas l'option 90 (le nom n'est pas définit dans le tableau des options supportées... y'a pas d'option générique pour mettre '90' en dur a ma connaissance).

Donc je le sens mal la ... ca va etre coton avec nos ERL & Orange...il va surement falloir bidouiller pour installer un autre client DHCP.

Pas besoin en fait le client permet de définir manuellement une option. La seule obligation ça va être d'envoyer toute la séquence héxadécimale de l'option. Mais ça ne devrait pas être plus compliqué que ça puisqu'on peut capturer la séquence avec wireshark ou même convertir le username à la main en hex
Titre: Remplacer la livebox sans pppoe
Posté par: zommak le 23 novembre 2015 à 01:13:36
Voilà j'ai modifié le sujet d'origine. Ça marche avec dhclient. Plus besoin d'utiliser le client modifié. Il faut juste adapter les séquences hexadécimal. Il reste à adapter le fichier pour pouvoir faire la requête ipv6. Par contre j'ai toujours un problème de débit et je ne sais toujours pas d'où ça vient.
Titre: Remplacer la livebox sans pppoe
Posté par: zoc le 23 novembre 2015 à 07:42:54
OK, c'est une bonne nouvelle.

Pour l'ERL il suffira donc de patcher le fichier perl qui génère le fichier de configuration DHCP. Pas très difficile.

Update: Alors, pour un firmware 1.7 (et sans doute suivants), il faut modifier le fichier /opt/vyatta/sbin/vyatta-interfaces.pl. Rechercher la ligne

$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";
et rajouter en dessous

$output .= "option rfc3118-auth code 90 = string;\n\n";
Puis rebooter l'ERL. A partir de ce moment, il devrait (je mets au conditionnel car je n'ai pas encore testé) être possible de faire

set interfaces ethernet eth1 dhcp-options client-option "send rfc3118-auth xx:xx:xx:xx:xx:.....;"
dans le fichier de config de l'ERL ;)
Titre: Remplacer la livebox sans pppoe
Posté par: zoc le 23 novembre 2015 à 09:06:09
Ci-dessous un script "quick and dirty" en bash (exécution validée sur un ERL) pour générer la séquence d'octets à partir de votre identifiant (il faut passer en paramètre au script ce qui se trouve après "fti/" en respectant la casse:

#!/bin/bash

USERNAME=$1
AUTHSTRING=00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f

for (( i=0; i<${#USERNAME}; i++ )); do
        HEXCHAR=$(echo -n ${USERNAME:$i:1} | od -An -txC | xargs)
        AUTHSTRING=${AUTHSTRING}:${HEXCHAR}
done
echo ${AUTHSTRING}

Exemple d'execution (non, ce n'est pas mon identifiant  :P ):
root@gateway:/config/scripts# ./generator.sh 7kgtyop
00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:37:6b:67:74:79:6f:70
Titre: Remplacer la livebox sans pppoe
Posté par: zommak le 23 novembre 2015 à 11:15:51
Bien vu pour le script bash, je vais  citer tes posts dans le premier post
Titre: Remplacer la livebox sans pppoe
Posté par: Breizh 29 le 23 novembre 2015 à 11:16:54
Juste une question, l'ERL est bien incompatible avec l'option 90 ?
Comment as tu fais, tu parles d'option 90.
Titre: Remplacer la livebox sans pppoe
Posté par: zoc le 23 novembre 2015 à 13:11:44
Il est effectivement impossible de configurer l'option 90 sans modifier un script du firmware (voir un de mes précédents posts). En pratique c'est le genre d'opération que l'on fait déjà pour faire fonctionner le serveur PPPoE dans le cas d'une config avec livebox. Donc rien d'insurmontable
Titre: Remplacer la livebox sans pppoe
Posté par: kgersen le 23 novembre 2015 à 14:00:55
oui c'est bien dommage car ca va 'casser ' a chaque maj du firmware mais on peut vivre avec je pense.

Pour les non barbus ou ceux qui n'aiment pas les scripts shell, voici une version Javascript pour générer la chaine:

source+live: http://jsfiddle.net/kgersen/45zudr15/
live: https://jsfiddle.net/kgersen/45zudr15/embedded/result/

une version en Dart ici: https://dartpad.dartlang.org/a3d79508ca014696dafd
Titre: Remplacer la livebox sans pppoe
Posté par: zommak le 23 novembre 2015 à 17:29:08


Bon j'ai réussi à obtenir une ipv6, mais impossible de réussir à faire la même chose avec dhclient-isc je ne sais pas pourquoi mes options ne passe qu'en ipv4 pas en v6. Quelqu'un a une idée?

Toujours un gros problème de débit je ne dépasse pas les 1mb en débit montant je ne comprend pas pouquoi il faut que je réexamine les échange avec la box. à moins que ce ne soit un blocage lié à la non reconnaissance d'une vrai livebox. Il faut que je regarde. je ne met pas encore tout ça dans l'intro

et mauvaise nouvelle pour le prefix Ipv6. Autant mon ipv4 n'a pas bougé autant je n'ai plus le même prefix qu'avec la box........
j'ai mis à jour mon 1er post
Titre: Remplacer la livebox sans pppoe
Posté par: kgersen le 23 novembre 2015 à 18:30:42

Bon j'ai réussi à obtenir une ipv6, mais impossible de réussir à faire la même chose avec dhclient-isc je ne sais pas pourquoi mes options ne passe qu'en ipv4 pas en v6. Quelqu'un a une idée?


si Orange utilise du DHCPv6-PD (prefix delegation) c'est différent du DHCPv6 tout court qui lui est différent du DHCPv4.
En IPv6 un routeur a, en gros, 4 facons de se configurer une interface : SLAAC, stateless DHCPv6, stateful DHCPv6, DHCPv6-PD et ca peut être une combinaison des 4. Le plus fréquent: SLAAC + stateless DHCPv6 coté WAN et DHCPv6-PD pour configurer les LANs.

Pour un CPE "home" comme une box de FAI, j'imagine qu'ils ont choisi un truc assez simple. peut-etre juste un échange DHCPv6-PD ou SLACC coté WAN+DHCPv6-PD coté LAN?

Le mieux serait de faire une capture entre l'ONT et la Livebox pour voir les échanges ICMPv6 et DHCPv6 et déterminer le bon replay à  faire.

Si c'est du DHCPv6-PD :

ISC-DHCP support le PD avec l'option -P
l'ERL aussi depuis la 1.6

la théorie (simplifiée - voir rfc3633 +updates):
- le client (en l'occurence ta machine ou la livebox) envoi un "solicite" avec l'option IA_PD contenant un IAID (Identity Association ID) et, en option, une longueur de préfix voulue (/64 ou /56 par exemple) voir même un prefix donnée (plus rarement). Typiquement: on va envoyer un message du style: "eh file moi un /56", ou " eh file moi 3 /64" (3 messages avec 3 IAID différents), ou "eh file moi 2001:xx:yy:zz::/64" ).
- le serveur DHCPv6 a l'autre bout va renvoyer le (ou les) prefix correspondant(s) s'il est d'accord a la demande bien sur et etablir le routage en conséquence.
- le client va ensuite utiliser ca pour configurer son ou ses interfaces et/ou éventuellement son radvd voir son serveur DHCPv6 s'il en a un pour ses clients a lui.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 23 novembre 2015 à 18:39:10
Le problème n'est pas de faire du "prefix delegation" avec le dhclient il y a comme tu le dis l'option -P pour ça mais bien d'envoyer les informations d'authentification au serveur sans quoi, on n'obtient aucun préfixe. Peut être que le client ne permet pas d'envoyer des options modifiées en DHCPv6-PD.

pour la requête de prefix delegation en tout cas aucun besoin de donner des 'hints' au serveur. A voir si ça pourrait permettre de force un préfixe v6. Mais je pense que si le routeur m'en attribue un nouveau c'est que l'autre à été donner à un autre utilisateur.

Mais c'est ce que j'ai réussi à faire avec un autre client. Je récupère le préfixe, je génère un fichier de conf pour radvd qui annonce le préfixe sur le réseau local
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: tivoli le 23 novembre 2015 à 19:44:50
Avez vous cree un post sur le forum ubnt  ?

Si non vous devriez le faire , ca permettrait que cela soit pris en compte dans un futur firmware.

Ils sont tres reactifs (encore plus quand on leur mache le travail)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 23 novembre 2015 à 20:37:30
Ci-dessous la configuration qui devrait marcher sur un ERL (Ma livebox se connecte toujours en PPPoE, donc DHCP n'est pas encore disponible chez moi, donc je ne peux pas tester):

    ethernet eth1 {
        address dhcp
        description ONT
        duplex auto
        speed auto
        vif 832 {
            description "Internet + TOIP"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox3&quot;;"
                client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;"
                client-option "request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3118-auth;"
                default-route update
                default-route-distance 210
                name-server update
            }
            egress-qos "0:6 1:0 2:2 3:3 4:4 5:4 6:6 7:7"
        }
        ...
  }

Rappels :

Encore une fois: Je n'ai pas pu aller plus loin que la partie concernant le patch car DHCP n'est pas encore déployé pour moi. Par contre j'ai validé qu'avec mon patch et la config ci-dessus le fichier généré pour le client DHCP est correct.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: kgersen le 23 novembre 2015 à 20:49:02
faut-il toujours les 2 autres options (vendor-class-identifier et user-class) ?

il manque un "address dhcp" dans le block de vif 832.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 23 novembre 2015 à 20:53:01
la priorité doit être de 6 sur le vlan832 (la box fait d’ailleurs passer la voip sur ce même vlan)
Autre soucis le débit montant est très ralenti ce qui n'est pas le cas ni en pppoe ni avec la livebox en dhcp.
Est-ce que le problème de débit montant ne viendrait pas de là ?

J'avoue que je ne suis pas très au fait de cette histoire de priorité sur les VLANs, mais dans ta config tout le traffic se retrouve avec la priorité 6 (Voice < 10 ms latency and Jitter). Peut-être que ce n'est que le traffic téléphonie qui doit avoir la priorité 6 et pas le reste ? (mais comment on configure ça, je n'en n'ai aucune idée).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 23 novembre 2015 à 20:54:56
faut-il toujours les 2 autres options (vendor-class-identifier et user-class) ?
Je ne sais pas, elles apparaissent dans les captures Wireshark sur le port WAN de la Livebox...

Citer
il manque un "address dhcp" dans le block de vif 832.
Effectivement, corrigé. Merci.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 23 novembre 2015 à 23:42:28
faut-il toujours les 2 autres options (vendor-class-identifier et user-class) ?

il manque un "address dhcp" dans le block de vif 832.

Si mes souvenirs sont bons, j'ai essayé sans l'un des paramètres et le serveur arrête de répondre à la requête DISCOVER.

Est-ce que le problème de débit montant ne viendrait pas de là ?

J'avoue que je ne suis pas très au fait de cette histoire de priorité sur les VLANs, mais dans ta config tout le traffic se retrouve avec la priorité 6 (Voice < 10 ms latency and Jitter). Peut-être que ce n'est que le traffic téléphonie qui doit avoir la priorité 6 et pas le reste ? (mais comment on configure ça, je n'en n'ai aucune idée).

Possible mais les requêtes DHCP de la box sont elles en priorité 6. Je rebrancherai la box demain pour voir ce que disent les autres paquets. Mais pareil que toi je ne sait pas du tout comment configurer une priorité particulière pour certain paquet.
Mais je me demande si il n'y a pas une négociation entre le routeur et la box pour définir le débit, Je vais essayer de scruter si il n'y a pas un paquet bizarre qui serait envoyé par la box au routeur.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: kgersen le 24 novembre 2015 à 00:53:58
ca ressemble a la QoS de niveau 2, aka 802.1p tagging, ou la classe de service 6 est utilisé pour le trafic "Internetwork Control" (typique pour du DHCP donc).

Sur linux on peut mapper la priorité interne (skb priority) de/vers 802.1p.
On fait la table de mappage avec vconfig mais a priori tu a tout mappé sur 6.

Il faudrait  garder le mapping par défaut (1->1, 2->2, etc) et marquer le skb avec iptables mangle+CLASSIFY.

La y'a plusieurs facons de faire: si au niveau IP y'a deja du marquage (DSCP) dans ce cas on peut mapper le DSCP sur le skb:

iptables -t mangle -I POSTROUTING -o eth1.832 -m dscp --dscp-class EF -j CLASSIFY --set-class 0:6
cette exemple marque les paquets qui ont un DSCP a EF en skb 0:6 (qui lui sortira en 802.1p CS 6).

ou alors faire des regles par type de traffic, par exemple marquer explicitement DHCP client (UDP port 68) en classe 6 :

iptables -t mangle -I POSTROUTING -o eth1.832 -p udp --dport 68 -j CLASSIFY --set-class 0:6
ps: c'est a tester bien sur.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 24 novembre 2015 à 01:07:31
Merci pour les infos, je vais essayer de comprendre tout ça un peu mieux c'est vrai que je ne m'etait pas posé beaucoup de question sur les priorités des vlans. Je vais m'intéresser à ça demain
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 24 novembre 2015 à 12:34:26
Ok donc vous aviez totalement raison, ça vient des priorités.
ARP, DHCP, ICMP prio -> 6
SIP prio -> 5
le reste prio -> 0

j'ai rétabli les priorité normal juste après avoir réalisé la requête DHCP et le débit est revenu à la normal.
Je vais regarder du côté d'iptables pour faire un truc propre et je mettrais ça dans le topic.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 24 novembre 2015 à 12:41:57
Content d'avoir pu te faire avancer un peu  ;D

D'autant plus que moi je ne peux rien tester pour l'instant... Par contre du coup un doute m'habite: Est-ce que la Target CLASSIFY désactive l'offload sur l'ERL... Auquel cas ça va être problématique car on va se retrouver avec des perfs pourries.

Il faut que je me renseigne sur ce point...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: PacOrly le 24 novembre 2015 à 13:27:30
L'offload est nécessaire juste pour le PPPoE ou pour le NAT aussi?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 24 novembre 2015 à 13:40:56
L'offload est aussi nécessaire pour le routage inter VLAN (typiquement ce que l'on fait ici)...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: stefauresi le 24 novembre 2015 à 13:49:44
Bonjour a vous ,

j'ai suivi le fil de discussions avec grand intérêt  ;)

Pensez-vous que la configuration est transposable sur pfSense ?

Voici les champs de paramétrage du dhcp sous pfSense 2.2.5

(http://swebserver.ddns.net/imagesforum/pfsense/dhcp.PNG)


(http://swebserver.ddns.net/imagesforum/pfsense/dhcpv6.PNG)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: martintamare le 24 novembre 2015 à 16:25:03
Hello tout le monde,

Même problématique ici sur pfsense qui marchait jusqu'alors très bien en PPPoE sur vlan 835.

Pourriez vous faire un récap des options obligatoires / facultatives si vous les connaissez ?
J'ai bien noté la 90 pour le moment avec le bon code.

Autre question en vrac :
- La priorité est-elle nécessaire ?
- PPPoE est-il coupé définitivement ?

Merci :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: stefauresi le 24 novembre 2015 à 16:36:41
Citer
Même problématique ici sur pfsense qui marchait jusqu'alors très bien en PPPoE sur vlan 835.

tu parles au passé , pourquoi ? chez toi ça ne fonctionne plus ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: martintamare le 24 novembre 2015 à 16:39:50
A prendre avec des pincettes car je suis à distance.

Notre pfsense n'arrive plus à avoir une IP publique sur la pate pppoe_vlan835.
Il retourne une IP en 172.17.* ou le traffic ne passe pas.

On a redémarré le convertisseur : idem.

Du coup je m'intéresse à l'autre option vlan_832 avec option DHCP :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: stefauresi le 24 novembre 2015 à 16:43:56
bizarre car chez moi tout fonctionne a merveille en PPPOE sur vlan 835

discution en lien avec pfSense pour éviter de polluer ici  ;) https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-pfsense/
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 24 novembre 2015 à 16:59:43
J'ai essayé les de marquer les paquets DHCP sauf que ça ne marche pas. Pourtant la commande semble être ok puisque avec celle ci j'ai pu changer la priorité des paquets http.

iptables -A POSTROUTING -t mangle -p udp --dport 67 -j CLASSIFY --set-class 0:6
J'ai utilisé en ça en spécifiant ou pas l'interface de sortie mais ça ne change rien, pareil pour essayer de tagguer les paquets dhcpv6 (en changeant le port part 547)
J'ai essayé avec un dscp à 0x10 (c'est le marquage définit par le client dhclient) mais sans succès non plus.

si je regarde les paquet qui traversent les règles mangle avec iptables -L -t mangle -n -v
(j'ai bien évidemment démarré des requêtes DHCP, en surveillant également avec wireshark la prio reste à 0)
Chain POSTROUTING (policy ACCEPT 1268 packets, 279K bytes)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 CLASSIFY   udp  --  *      *       0.0.0.0/0            0.0.0.0/0            udp dpt:67 CLASSIFY set 0:6

Du reste la commande suivante permet de tagguer les paquets de la voip
iptables -t mangle -I POSTROUTING -o eth0.832 -m dscp --dscp-class EF -j CLASSIFY --set-class 0:5

et pour les paquets icmpv6
ip6tables -t mangle -A POSTROUTING -o eth0.832 -p ipv6-icmp -j CLASSIFY --set-class 0:6

J'ai pas encore trouvé pour tagguer les paquets ARP mais à voir si c'est nécessaire

J'ai bien associé les priorités aux différents skb avec
for i in 0 1 2 3 4 5 6 7; do
    vconfig set_egress_map eth0.832 $i $i >/dev/null
done
Si je ne le fait pas un coup d'oeil à la table du vlan n'indique aucune configuration


Pour ce qui est du pfsense j'ai l'impression que tout les champs nécessaire sont là, pour ce qui est du DHCP, mais il faut aussi pouvoir configurer les tables mangle pour définir la prio sur certain paquet comme l'ont suggérer kgersen et Zoc. Le récapitulatif de tout ce qui a été fait est dans le premier post.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 24 novembre 2015 à 17:21:35
Etrange, la règle ne matche aucun paquet...

en fait ça marche pour tout sauf le DHCP (v4 et v6) si j'ai bien compris...

En cherchant un peu, je suis tombé sur ça (https://gfiber.googlesource.com/buildroot/+/075a39a72751aac007f23a30f2a365e10a78ca04%5E1..075a39a72751aac007f23a30f2a365e10a78ca04/), où on voit des règles de classification dans la chaine OUTPUT de la table mangle (alors que d'après la doc ca doit obligatoirement être dans la chaine POSTROUTING). Peut-être que ça vaut le coup d'essayer.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: kgersen le 24 novembre 2015 à 17:25:42
essais a -I mais j'en doute ?
essais avec --sport 68 au lieu de --dport 67 ?

ca ne passe pas peut-etre pas par POSTROUTING ? essais avec OUTPUT ?

iptables ca me donne mal au crane a chaque fois que je touche a ce truc  :P

edit: voir le post de zoc juste avant
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 24 novembre 2015 à 18:09:58
Est-ce que la Target CLASSIFY désactive l'offload sur l'ERL... Auquel cas ça va être problématique car on va se retrouver avec des perfs pourries.

Il faut que je me renseigne sur ce point...
Pour info j'ai posté la question sur le forum d'Ubiquiti (https://community.ubnt.com/t5/EdgeMAX/802-1p-tagging-CLASSIFY-iptables-target-and-offload/m-p/1412967)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 24 novembre 2015 à 18:17:08
J'avais déjà fait un test sur OUTPUT, et j'ai tout refait à l'instant avec les différentes combinaisons. Rien n'y fait. Les règles ne voient aucun paquet passer entre leur main.
-A ou -I ne change rien j'ai essayé, mais cela ne change que l'ordre dans lesquels les filtres sont insérés dans la tables

J'ai même fait une règle pour tagguer tous les paquet sur eth0.832 elle ne voit rien. Je ne comprends plus trop la logique c'est comme si certain paquet étaient juste ignoré par les filtres. est il possible qu'il y ai une option à activer pour que les tables s'appliquent même à des interfaces non configurées?

J'ai essayer de googler ça mais je n'ai rien trouvé sur le sujet...

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 24 novembre 2015 à 18:33:32
L'interface est à priori UP mais effectivement sans IP associée (c'est un peu le but de DHCP de lui en attribuer une  ;D ). Du coup je sais pas si on peut matcher des paquets avec iptables. Peut-être qu'il faut aller plus bas (ebtables) mais je n'ai pas l'impression que la target CLASSIFY soit supportée...

Après il existe peut-être un flag kernel pour qu'iptables puisse voir le traffic, mais je n'ai rien trouvé pour l'instant.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: kgersen le 24 novembre 2015 à 18:38:51
Pourtant la commande semble être ok puisque avec celle ci j'ai pu changer la priorité des paquets http.

on dirait donc plus une histoire de raw sockets (sockets qui ne passe pas par netfilter donc pas par iptables).

il est probable donc que ton client dhcp utilise directement des raw sockets plutot que des sockets IP normaux.

Ca voudrait qu'il faut configurer le marquage QoS dans le client DHCP si c'est prévu ou le patcher si c'est pas prévu.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 24 novembre 2015 à 18:46:15
L'autre solution consiste peut-être a tagguer par défaut avec la priorité 6 puis de tagguer tout le reste du traffic (hors VOIP) avec la priorité 0 explicitement...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: kgersen le 24 novembre 2015 à 18:54:30
L'autre solution consiste peut-être a tagguer par défaut avec la priorité 6 puis de tagguer tout le reste du traffic (hors VOIP) avec la priorité 0 explicitement...

oui ca peut surement marcher. reste a voir si cela impact les performances ou pas. notamment sur l'ERL.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 24 novembre 2015 à 19:07:34
Bien pensé c'est sûrement le moins contraignant. Je vais pas trop touché à ma configuration ce soir mais je ferais un truc du genre demain et je verrais ce que ça dit niveau performance. En attendant j'ai un script qui passe toutes les priorités à 6 juste avant de démarrer les requêtes DHCP puis reviens au prio normal ça devrait tenir le temps d'améliorer tout ça.

Merci à vous deux en tout cas.

Je mettrais à jour le premier post demain avec la version final des fichiers de conf
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 24 novembre 2015 à 19:08:55
En attendant j'ai un script qui passe toutes les priorités à 6 juste avant de démarrer les requêtes DHCP puis reviens au prio normal ça devrait tenir le temps d'améliorer tout ça.
Et pour le renouvellement de bail (sans redémarrer dhclient donc), ça marche aussi ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 24 novembre 2015 à 19:45:26
sûrement que non :D mais le bail va bien durer jusqu'à demain. Si la connexion s'arrête le client sera redémarrer par le script donc au pire la coupure sera de courte durée
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: MikeTheFreeman le 24 novembre 2015 à 20:17:27
on dirait donc plus une histoire de raw sockets (sockets qui ne passe pas par netfilter donc pas par iptables).

il est probable donc que ton client dhcp utilise directement des raw sockets plutot que des sockets IP normaux.

Ca voudrait qu'il faut configurer le marquage QoS dans le client DHCP si c'est prévu ou le patcher si c'est pas prévu.

Je confirme que c'est bien des raw sockets.
Il y a quelque mois, j'avais ouvert un sujet sur le forum ubiquiti car je ne comprenais par pourquoi les requêtes dhcp sur le subnet n'étaient pas filtrées alors qu'il y avait un deny all en inbound de mon subnet : je n'étais pas familier de la chose.
Jusqu'à ce qu'on m'explique.

Pour l'IPv6, dommage que ça ait l'air de bien compliquer le setup. Surtout si les perfs doivent en prendre un coup après...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: Breizh 29 le 24 novembre 2015 à 20:50:45
Ce que je note c'est que mnt, qu'il y a du DHCP, le panel de routeurs configurablent devrait s'élargir, vu que le serveur PPPoE ne devient plus une obligation.
Bon l'option 90 peut encore poser problème.
Mais tout ça est une bonne nouvelle, non ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: petrus le 24 novembre 2015 à 20:56:12
- La priorité est-elle nécessaire ?
- PPPoE est-il coupé définitivement ?

1) Oui.
2) Non.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 24 novembre 2015 à 20:58:39
Ce que je note c'est que mnt, qu'il y a du DHCP, le panel de routeurs configurablent devrait s'élargir
Ouais, enfin vu le bordel que c'est au niveau du tagging 802.1p, c'est pas gagné, c'est sans doute encore moins commun qu'un serveur PPPoE sur un routeur du commerce pour le grand public...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: Breizh 29 le 24 novembre 2015 à 22:44:49
Ouais, enfin vu le bordel que c'est au niveau du tagging 802.1p, c'est pas gagné, c'est sans doute encore moins commun qu'un serveur PPPoE sur un routeur du commerce pour le grand public...
Dsl j'ai dit une connerie  :o
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: BM92 le 24 novembre 2015 à 22:51:33
J'ai comme l'impression que Ubiquiti vas devoir être réactif sur ce coup non ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: kgersen le 24 novembre 2015 à 23:02:38
J'ai comme l'impression que Ubiquiti vas devoir être réactif sur ce coup non ?

y' a pas urgence.
Les devs d'Ubiquiti sont assez réactifs et a l'écoute donc je ne m’inquiète pas trop.

L'ERL est une base Debian ce qui veut dire qu'au pire on peut zapper la couche d'Ubiquiti (EdgeOS) si elle nous gene.
On peut meme installer Openwrt (latest build ici: http://downloads.openwrt.org/snapshots/trunk/octeon/generic/ ) ou autre chose.

Le souci c'est le risque de perte de l'offload qui était un gros plus de l'ERL mais avec ce changement on passe aussi en IPv6 qui lui n'a pas besoin du meme niveau d'offload (c'est du routage simple sans NAT) donc sans les accélérations matérielles ca pourra peut-etre suffire.

bref c'est un peu tôt pour savoir mais au pire y'a des alternatives et des options.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: MikeTheFreeman le 24 novembre 2015 à 23:49:37
Tout ce que tu dis est juste.
Mais faut bien se rendre compte que même si l'on a plus besoin de nater, le tag à la volée des entêtes ethernet va nécessiter au moins le même type d'offload que du nat, il est quasiment certain que les perfs vont s'effondrer si l'asic n'est pas capable d'offloader le 802.1p.
Personne n'a été demander sur le forum Edgemax ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: BM92 le 25 novembre 2015 à 00:15:18
kgersen tu me rassure un peu, je reçois mon PoE 5 ports demain
Et je n'aimerais pas être obliger de le collé au cul de la LB au lieux de l'ONT  ;D
Cependant vous avez tout fait un énorme boulot et je vous en remercie
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: kgersen le 25 novembre 2015 à 00:19:35
Tout ce que tu dis est juste.
Mais faut bien se rendre compte que même si l'on a plus besoin de nater, le tag à la volée des entêtes ethernet va nécessiter au moins le même type d'offload que du nat, il est quasiment certain que les perfs vont s'effondrer si l'asic n'est pas capable d'offloader le 802.1p.
Personne n'a été demander sur le forum Edgemax ?

Zoc a ouvert un topic: https://community.ubnt.com/t5/EdgeMAX/802-1p-tagging-CLASSIFY-iptables-target-and-offload/m-p/1412967

Sinon concernant la modif de vyatta-interfaces.pl, j'ai crée une suggestion pour les "custom options DHCP", il faudrait des votes pour qu'elle soit pris en considération:
https://community.ubnt.com/t5/EdgeMAX-Feature-Requests/custom-DHCP-client-options/idi-p/1413360 (désolé j'ai foiré l'édition du post c'est mal présenté).

Au besoin on pourra faire d'autres suggestions quand on saura ce qui marche/marche pas.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 25 novembre 2015 à 00:48:25
Petites news, j'ai suivi les conseils de zoc et ça marche. Je suis un peu en dessous du débit que j'avais tout à l'heure mais rien d'inquiétant je ne suis même pas sûr que ce soit lié au tables. Je ne sais pas où je pourrais regarder la consommation de ressource lié au règles mangle. Mais l'ordi arm qui me sert de routeur n'est pas spécialement un monstre de puissance (dual core ARMv7) donc je suis globalement satisfait, c'est bien mieux qu'en PPP.

Mais je ne pense pas que ce soit très consommateur au final on ne fait que changer les paquets d'une file à l'autre. Seuls sont marqués en prio 6 les paquets qui restent dans la file par défaut et ceux pour la voip dans le skb 5 et les paquets icmp et igmp que je bouge dans le skb 6.

J'ai mis à jour le premier post. Si quelqu'un a des suggestions n'hésitez pas.

(je viens de me rendre compte que le serveur ne répond plus à la demande de prefix v6 je regarde ça demain)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: Je@nb le 25 novembre 2015 à 11:17:04
Zoc a ouvert un topic: https://community.ubnt.com/t5/EdgeMAX/802-1p-tagging-CLASSIFY-iptables-target-and-offload/m-p/1412967

Sinon concernant la modif de vyatta-interfaces.pl, j'ai crée une suggestion pour les "custom options DHCP", il faudrait des votes pour qu'elle soit pris en considération:
https://community.ubnt.com/t5/EdgeMAX-Feature-Requests/custom-DHCP-client-options/idi-p/1413360 (désolé j'ai foiré l'édition du post c'est mal présenté).

Au besoin on pourra faire d'autres suggestions quand on saura ce qui marche/marche pas.


Je leur ai posté un diff au cas où pour qu'ils comprennent :D. (basé sur 1.8.0beta1)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: Mescal le 25 novembre 2015 à 15:38:58
Question bête. Doit-on connecter la LB pour activer l'ipv6, ou bien elle ne sert qu'à la vérification?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 26 novembre 2015 à 01:43:29
Je viens de tester le passer en DHCPv4 avec mon routeur OpenBSD plutôt qu'en PPPoE résultat:

- Plus besoin de patcher le kernel OpenBSD pour forcer la priorité vlan à 0, le tag est à 3 par défaut sur OpenBSD
- Pas besoin de chercher à prioriser 0 sur certains et 6 sur d'autres, tout est à 3 en ce qui me concerne et fonctionne
- Baisse drastique du débit, je suis passé de 100mbits à 30mbits...

Merci pour le script de conversion, il faut utiliser pkg_add -r isc-dhcp-client puis lui stipuler d'utiliser un fichier contenant les identifiants, le vendor et le userclass pour que cela fonctionne correctement.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: corrector le 26 novembre 2015 à 07:22:10
iptables ca me donne mal au crane a chaque fois que je touche a ce truc  :P
Mais il y a des mecs qui n'hésitent pas ce reposer sur ce machin imbitable pour la sécurité de leur réseau, hihihi.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 26 novembre 2015 à 07:41:23
- Baisse drastique du débit, je suis passé de 100mbits à 30mbits...
Je suis presque certain que c'est à cause du traffic internet qui n'est pas en priorité 0, et Orange de son coté fait du trafic shaping sur les priorités autres que 0...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 26 novembre 2015 à 08:10:12
Je viens d'utiliser PF pour set la priorité TCP à 6, passage de 30Mbps à 100Mbps. Par contre l'upload plafonne à 3Mbps...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 26 novembre 2015 à 08:52:56
L'upload plafonné c'est parce qu'il faut tagguer le traffic sortant (hors ICMP, IGMP, DHCP et VOIP) avec la priorité 0 obligatoirement (voir les posts précédents de @zommak).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 26 novembre 2015 à 08:57:39
zoc: si je tag zéro le TCP semble ne plus avoir de réponse, je vais faire un peu de sniff ce soir voir ce qui est réellement envoyé.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 26 novembre 2015 à 08:58:04
Pour ceux intéressés pour utiliser un OpenBSD sur Orange en mode DHCPv4 voici la manoeuvre (ca devrait marcher sous FreeBSD/PfSense), telle qu'elle fonctionne pour moi actuellement (excepté un souci sur l'upload)

Créer le fichier /etc/dhclient.conf et spécifier le contenu suivant:
send vendor-class-identifier = "sagem";
option userclass code 77 = string;
send userclass 2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:33;
option authsend code 90 = string;
#send authsend "fti/xxxxxx";
send authsend 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:32:4a:8a:88:11:22:11;

Remplacez la chaîne authsend hexa avec le script du premier post

Créez ensuite l'interface vlan832 (remplacez vr1 par le nom de votre interface physique accueillant la sortie WAN)

ifconfig vlan832 create vlan 832 vlandev vr1 up
enregistrez la conf dans /etc/hostname.vlan832 pour le boot
vlan 832 vlandev vr1 up
description "VLAN DATA Orange"

Lancez ensuite dhclient en mode daemon en précisant la configuration

/usr/local/sbin/dhclient -cf /etc/dhclient.conf vlan832
Pour lancer le dhclient au démarrage, ajoutez la ligne ci-dessus dans /etc/rc.local

Enfin on configure PF de façon à nater normalement sur le VLAN 832 (/etc/pf.conf) et bloquer les quelques ports OpenBSD qui pourraient être ouverts sur le WAN

wan_iface="vlan832"
table <lan_v4> { 192.168.1.0/24 172.16.9.0/23 }

block log               # block stateless traffic
pass keep state         # establish keep-state
block in log quick on $wan_iface inet proto tcp to port { ssh http }
block in log quick on $wan_iface inet proto udp to port { syslog domain }

pass out quick on $wan_iface inet from <lan_v4> nat-to ($wan_iface) set prio 6 keep state
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 26 novembre 2015 à 09:07:09
zoc: si je tag zéro le TCP semble ne plus avoir de réponse, je vais faire un peu de sniff ce soir voir ce qui est réellement envoyé.
Etrange, @zommak avait le même problème d'upload en tagguant à 6, qu'il a résolu en tagguant à 0...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 26 novembre 2015 à 10:27:31
Effectivement tu tag bien la prio 0 après avoir initié la connexion DHCP? sinon celle ci ne pourra pas se faire.
le mieux est de pouvoir tagguer spécifiquement certain paquet et de s'assurer que tout les autres connexions aient une prio à 0
Ensuite oui vérifie en regardant que les prio qui vont bien ont été appliquées au paquet que tu voulais

Petite note quand même tout les client n'utilisent pas les raw socket (par exemple dibble ne fait pas ça) et donc il faut faire une règle mangle pour tagguer les paquets à destination du serveur DHCP d'orange.

J'ai ajouté des commentaires sur les chaines mangle pour définir les prio
Quand on aura résolu ton problème je rajouterai une citation de ton post pour expliquer la configuration avec openBSD
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: corrector le 26 novembre 2015 à 13:52:15
Qu'est-ce que ça change d'utiliser les raw sockets ou des normales?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 26 novembre 2015 à 13:54:26
Les raw sockets cour circuitent iptables donc impossible d'écrire une règle pour changer la priorité.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: corrector le 26 novembre 2015 à 13:58:12
Tout bonnement incroyable, d'où tu tiens ça?

Comment pourrait-on court-circuiter un filtre de paquets??!!!
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 26 novembre 2015 à 14:01:53
Tout simplement parce qu'avec les raw sockets tu peux faire autre chose que de l'IP sur Ethernet. iptables, ça marche avec de l'IP seulement....

D'où je tiens ça ? Les dizaines de publications disponible en googleisant "raw socket iptables", plus l'expérimentation de @zommak, plus d'autres témoignages dans ce fil...

Mais effectivement, c'est pour moi une faille dans le système: Rien n'empêche d'implémenter IP et TCP en userland au dessus des raw sockets et de passer à travers le firewall. La seule restriction étant que les raw sockets ne sont utilisables qu'avec l'id 0 (root), ce qui mitige quand même le risque...

Techniquement, je ne vois pas ce qui empêcherait au kernel de consulter les paquets envoyés à une raw socket, et si c'est de l'IP, de le faire passer par iptables. Mais bon je ne suis pas l'auteur d'iptables il y a surement une raison qui m'échappe :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: corrector le 26 novembre 2015 à 14:30:00
Tout simplement parce qu'avec les raw sockets tu peux faire autre chose que de l'IP sur Ethernet. iptables, ça marche avec de l'IP seulement....
Je sais bien, mais je ne pensais pas qu'il y avait un lien entre les sockets et netfilter, ça semble complètement délirant a priori.

D'où je tiens ça ? Les dizaines de publications disponible en googleisant "raw socket iptables", plus l'expérimentation de @zommak, plus d'autres témoignages dans ce fil...
Je vais voir alors, c'est un truc énorme pour moi.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: corrector le 26 novembre 2015 à 14:46:52
Ah oui quand même :

Citer
On Tue, Mar 25, 2003 at 02:06:59AM -0500, Ethan Dameron wrote:
> If I have a an IP datagram in userspace and I send it via a raw socket
> created with socket(PF_INET, SOCK_RAW, IPPROTO_RAW) using the send()
> system call, will this packet traverse the netfilter chains?

No. Raw sockets bypass the TCP/IP stack. Netfilter hooks, and
consequently iptables, sit inside the IP stack.

Another effect of the same occurrence is that, even if your iptables
rules drop packets, you can still see them with tcpdump / ethereal.
http://lists.netfilter.org/pipermail/netfilter-devel/2003-March/010826.html

Pouf pouf pouf
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: corrector le 26 novembre 2015 à 15:23:12
Mais effectivement, c'est pour moi une faille dans le système: Rien n'empêche d'implémenter IP et TCP en userland au dessus des raw sockets et de passer à travers le firewall. La seule restriction étant que les raw sockets ne sont utilisables qu'avec l'id 0 (root), ce qui mitige quand même le risque...
Non, CAP_NET_RAW. C'est pas tout à fait pareil.

Superuser permet de changer la config pare-feu de toute façon, mais pas CAP_NET_RAW a priori.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 26 novembre 2015 à 16:40:25
Effectivement tu tag bien la prio 0 après avoir initié la connexion DHCP? sinon celle ci ne pourra pas se faire.
Non rien n'est tagué comme tu peux le voir dans la configuration PF que j'ai citée. Les paquets partent avec la priorité vlan par défaut sous OpenBSD (je n'ai pas regardé encore pour DHCP mais c'est 3 pour le trafic classique à ce que j'ai pu voir)
Les paquets natés en stateful par PF sont tagués en priorité 6 ce qui a permit de rétablir le débit en download à 100Mbps au lieu de 30Mbps

Je vais regarder s'il y a des spécificités à corriger mais ya encore un peu de boulot :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 26 novembre 2015 à 17:01:50
C'est que je cherchais à dire. Il faut absolument que tu detag la prio 3/6 de tout les paquets celle ci doit être à 0 sauf pour les paquet reseau (DHCP, ICMP, ARP) qui doit être à 6
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 26 novembre 2015 à 17:27:56
zommak, sauf que je n'ai pas du tout de priorité custom sur le DHCP/ARP/ICMP et que tout fonctionne parfaitement avec la priorité par défaut à ce niveau là :)
Je regarderai côté TCP en revanche c'est la partie importante :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 26 novembre 2015 à 18:34:25
Ok je veux bien que la priorité à 3 marche sur les paquets réseaux, mais il faut que tu arrives à revenir à une prio de 0 sur le reste (au moins udp et tcp ). Même si ce n'est pas des prio custom ça peut être un probleme pour les routeurs d'orange qui voient les paquet passer avec des prio qu'ils ne devraient pas. si tu veux retrouver ton débit max. Indique nous la commande que tu as utilisé et qui a bloqué les communication tcp on pourra peut être t'aider à trouver la solution. (même si j'admet que j'ai pas souvent eu l'usage des bsd)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 26 novembre 2015 à 20:14:56
En l'occurence il s'agit d'un simple set prio 0 au lieu de set prio 6 sur les paquets sortants natés, je dois investiguer voir ce qui se passe réellement
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 26 novembre 2015 à 20:31:42
Ok j'ai trouvé, la norme 802.1p définit une inversion de prio 1 et prio 0 pour taguer les packets.

Voici la configuration actuelle permettant de faire tout dans les règles de l'art et qui fonctionne parfaitement de mon côté (eh oui PF c'est carrément mieux que les trucs crado avec netfilter :D).
C'est le PF le plus simple avec une bonne sécurité pour le routeur OpenBSD. Pour rappel PacketFilter est stateful, donc seul les entrées autorisées d'un côté pourront revenir d'un autre. Il faut encore que j'affine cela pour avoir un bon filtrage pour l'IPv6 mais les hosts IPv4 sont bien protégés et le routeur n'a que SSH et HTTP d'actifs.

wan_iface="vlan832"
table <lan_v4> { 192.168.1.0/24 172.16.9.0/23 }

block log               # block stateless traffic
pass keep state         # establish keep-state
block in log quick on $wan_iface inet proto tcp to port { ssh http } # Block ssh and http from WAN
block in log quick on $wan_iface inet proto udp to port { syslog domain } # Block DNS and syslog from WAN

# Tag packets on wan interface with vlan priority 0 (1 in PF because of 802.1p)
match out on $wan_iface inet proto tcp set prio 1
# nat clients to wan interface
pass out quick on $wan_iface inet from <lan_v4> nat-to ($wan_iface) keep state

J'ai du découper le set prio, ca a permi de corriger le pb et ca ne s'applique que sur TCP ici, je pense qu'un 2e match out qui ignore le port bootpc devrait faire l'affaire pour ceux qui aiment UDP :)

Voici le bench actuel, c'est très satisfaisant
(https://www.speedtest.net/result/4865592386.png)

En ce qui concerne l'IP je note que j'ai la même depuis plus de 24 heures

Je valide donc ma configuration avec OpenBSD, très simple avec juste le paquet isc-dhcp-client

Je commence les tests IPv6 avec dibbler bientôt et s'il faut à terme je filerai une image OpenBSD de mon routeur (sans les ID bien sûr) pour ceux qui veulent se monter ca sur un routeur (j'ai une alix board 2d13 en l'occurence)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 26 novembre 2015 à 22:00:44
Cool bien joué, je mettrai à jour le premier post à la fin du weekend dès que j'ai un peu de temps
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: stefauresi le 26 novembre 2015 à 22:14:26
Ok j'ai trouvé, la norme 802.1p définit une inversion de prio 1 et prio 0 pour taguer les packets.

Voici la configuration actuelle permettant de faire tout dans les règles de l'art et qui fonctionne parfaitement de mon côté (eh oui PF c'est carrément mieux que les trucs crado avec netfilter :D).
C'est le PF le plus simple avec une bonne sécurité pour le routeur OpenBSD. Pour rappel PacketFilter est stateful, donc seul les entrées autorisées d'un côté pourront revenir d'un autre. Il faut encore que j'affine cela pour avoir un bon filtrage pour l'IPv6 mais les hosts IPv4 sont bien protégés et le routeur n'a que SSH et HTTP d'actifs.

wan_iface="vlan832"
table <lan_v4> { 192.168.1.0/24 172.16.9.0/23 }

block log               # block stateless traffic
pass keep state         # establish keep-state
block in log quick on $wan_iface inet proto tcp to port { ssh http } # Block ssh and http from WAN
block in log quick on $wan_iface inet proto udp to port { syslog domain } # Block DNS and syslog from WAN

# Tag packets on wan interface with vlan priority 0 (1 in PF because of 802.1p)
match out on $wan_iface inet proto tcp set prio 1
# nat clients to wan interface
pass out quick on $wan_iface inet from <lan_v4> nat-to ($wan_iface) keep state

J'ai du découper le set prio, ca a permi de corriger le pb et ca ne s'applique que sur TCP ici, je pense qu'un 2e match out qui ignore le port bootpc devrait faire l'affaire pour ceux qui aiment UDP :)

Voici le bench actuel, c'est très satisfaisant
(https://www.speedtest.net/result/4865592386.png)

En ce qui concerne l'IP je note que j'ai la même depuis plus de 24 heures

Je valide donc ma configuration avec OpenBSD, très simple avec juste le paquet isc-dhcp-client

Je commence les tests IPv6 avec dibbler bientôt et s'il faut à terme je filerai une image OpenBSD de mon routeur (sans les ID bien sûr) pour ceux qui veulent se monter ca sur un routeur (j'ai une alix board 2d13 en l'occurence)

Bon boulot  8)

tu penses que c'est faisable sur pfSense ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: kgersen le 26 novembre 2015 à 23:06:06
J'ai du découper le set prio, ca a permi de corriger le pb et ca ne s'applique que sur TCP ici, je pense qu'un 2e match out qui ignore le port bootpc devrait faire l'affaire pour ceux qui aiment UDP :)

Chrome utilisent UDP a la place de TCP pour tout les acces aux serveurs Google, notamment Youtube.

et pourquoi se limiter a TCP (ou TCP et UDP), il serait plus 'futur proof' de tout marquer a 1 sauf DHCP & ICMP.

Ca sera d'autant plus vrai qu'avec IPv6 on peut avoir autre chose que TCP ou UDP.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 27 novembre 2015 à 14:58:34
@stefauresi pour la partie VLAN/DHCP ca ne devrait pas poser de souci si tu utilises aussi isc-dhcp, au pire si l'interface le fait pas, passe en console SSH et installe le paquet.
Concernant la partie priorité, essaye ma ligne match ... set prio dans /etc/pf.conf et lance pfctl -nf /etc/pf.conf pour vérifier la syntaxe (ou man pf.conf). Je ne sais plus si le PF freebsd sait gérer la priorité VLAN directement. (d'ailleurs je ne sais plus si pfsense utilise PF ou IPFW, même si le nom de la distribution indique PF :p)
Pour la partie UDP je vais faire quelques benchs
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 27 novembre 2015 à 17:46:36
Je viens de compiler dibbler 1.0.1 (en changeant qq paths dans les defines du portage pour être BSD compliant) cela fonctionne avec la double option, je continue mes investigation afin de faire fonctionner complètement cette partie
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 27 novembre 2015 à 18:59:59
Ca fonctionne avec dibbler + rtadvd, je finalise le script pour faire tout le bootstrap au propre car mine rien ya bcp de dynamisme à incorporer à cette IPv6.

J'ai même une légèrement meilleure perf en Ipv6
(http://img2.ipv6-test.com/speedtest/result/2015/11/27/50c7689ddcd112ecdf8e21ebb436c50c.png)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: stefauresi le 27 novembre 2015 à 20:06:26
tu as quoi comme offre jet , play ?
Gros impact sur les perfs ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 27 novembre 2015 à 21:20:49
Je suis en offre 100mbps donc c'est tout à fait raisonnable sachant que j'ai qq applis qui tournaient à côté et phones :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 27 novembre 2015 à 21:29:00
Doc quasi complète, à finaliser

Voici la configuration PF à appliquer pour être optimal avec de la sécurité sur IPv4 et IPv6 en bénéficiant du stateful PF, donc protégeant un maximum les hôtes locaux en IPv6 visibles d'Internet. Pas besoin de marquage ou quoi que ce soit, que ce soit en TCP,UDP,ICMP, IPv4 ou IPv6 le débit est au top avec cette configuration PF
wan_iface="vlan832"
table <lan_v4> { 192.168.1.0/24 172.16.9.0/23 }
# Persist table to change it with dibbler and don't flush it on firewall modification
table <lan_v6> persist

block log               # block stateless traffic
pass keep state         # establish keep-state
block in log quick on $wan_iface inet proto tcp to port { ssh http } # Block ssh and http from WAN
block in log quick on $wan_iface inet proto udp to port { syslog domain } # Block DNS and syslog from WAN
block in log quick on $wan_iface inet6 proto tcp to port { ssh http } # Block ssh and http from WAN
block in log quick on $wan_iface inet6 proto udp to port { syslog domain } # Block DNS and syslog from WAN
block in log quick on $wan_iface inet6 to <lan_v6> # Block incoming IPv6 trafic non sollicited by local LAN hosts

# Tag every TCP packets on wan interface with vlan priority 0 (1 in PF because of 802.1p), in IPv4 & IPv6
match out on $wan_iface proto { tcp udp } set prio 1
# nat clients to wan interface in IPv6
pass out quick on $wan_iface inet from <lan_v4> nat-to ($wan_iface) keep state
pass out quick on $wan_iface inet6 from <lan_v6> keep state

Configuration du dhclient natif OpenBSD
interface "vlan832" {
        send dhcp-class-identifier "sagem";
        send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
        send option-90 00:00:00:00:00:00:00:00:00:00:00:66:74:69:XX:XX:XX:XX:XX:XX:XX:XX;
}

Puis activation au boot:
echo "dhclient vlan832&" >> /etc/rc.local

Configuration de dibbler 1.0.1 compilé (/etc/dibbler/client.conf)
downlink-prefix-ifaces "none"
script "/etc/dibbler/rtadvd.sh"
iface "vlan832" {
        pd
        option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
        option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:xxxx
66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
        option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:xx:xx:xx:xx:xx:xx:xx:xx:xx
        option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:xx:xx:xx:xx:xx:xx:xx:xx:xx
}
Tout comme sous Linux, il est obligatoire d'avoir 2x l'option 11
A revérifier mais pas besoin de mettre la route par défaut dibbler la met automatiquement sous OpenBSD (il faut le lancer en root)
default                            fe80::ba0:bab%vlan832          UG         0    13235     -    56 vlan832

Concernant le router advertisement OpenBSD fournit l'outil natif pour le faire. Voici le script (à améliorer pour ajouter les DNS locaux au routeur dedans). Remplacez vether0 par le nom de l'interface de votre LAN (dans mon cas vether0 est une interface loopback branchée sur un bridge contenant quelques interfaces de mon LAN)

#! /bin/sh
if [ $SRV_MESSAGE = "REPLY" ]; then
cat >/etc/rtadvd.conf <<EOF
vether0:\\
        :addr="${PREFIX1}":prefixlen#64:

EOF

# Set rtadvd starting flags, adding prefix to PF for setting the correct firewall outgoing rules
rcctl set rtadvd flags " vether0"
pfctl -t lan_v6 -T flush
pfctl -t lan_v6 -T add "${PREFIX1}/64"

# restart rtadvd
for P in $(pgrep rtadvd); do
        kill ${P}
done
rcctl start rtadvd

Voici les bench, c'est très satisfaisant (offre 100Mbps)
(https://www.speedtest.net/result/4865592386.png)
(http://img2.ipv6-test.com/speedtest/result/2015/11/27/50c7689ddcd112ecdf8e21ebb436c50c.png)

Petite note subsidiaire, j'ai un second réseau pour mon wifi ajouté sur un second /64 statiquement dans le rtadvd et ca marche parfaitement avec Android :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: fouinix le 27 novembre 2015 à 21:45:05
Beau travail!
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: kgersen le 27 novembre 2015 à 22:18:16
block in log quick on $wan_iface inet6 to <lan_v6> # Block incoming IPv6 trafic non sollicited by local LAN hosts
si je lit bien ca bloque tout meme ICMPv6 (y'a qu'un match sur des adresses et pas le contenu) ?

Attention avec IPv6 il ne faut pas bloquer tout ICMPv6. on peut bloquer le ping (type 128/129), les RA/RD/NS/ND etc mais il faut au moins laisser entrer :

Destination inaccessible (ICMPv6 entrant, type 1)
Paquet trop important (ICMPv6 entrant,type 2)
temps dépassé (ICMPv6 entrant , type 3)
problème de paramètres (ICMPv6 entrant, type 4)

soit les types 1 a 4 (voir les roles types ici: http://tools.ietf.org/html/rfc4443 )

voir : https://www.ietf.org/rfc/rfc4890.txt (4.3.1) pour plus de détails.

Par exemple ne pas laisser entrer le type 2 (Paquet trop important) peut perturber les connexions sortantes:

En IPv6 il n'y a pas de fragmentation en cours d'acheminement. C'est donc a l'émetteur de réduire le paquet si le path (mtu) est trop petit pour celui-ci. Pour ce faire quand un paquet trop grand est détecté quelque part sur le chemin, le routeur qui ne peut le gérer renvoi un ICMPv6 type 2 a l'émetteur d'origine du paquet. La source est donc prévenu que le paquet n'a pas été acheminé jusqu'au bout et peut agir (réémission avec une taille plus petite ou signaler une erreur a la couche applicative).
Si l'ICMPv6 type 2 est bloqué et n'arrive pas a l'émetteur d'origine, ce dernier va attendre un timeout de connexion (si c'est du tcp par exemple) ce qui peut être long et il ne saura jamais comment établir une connexion avec cette destination.

Il faut donc voir si le statefull firewall autorise une entrée ICMPv6 correspondant a une sortie IPv6 (j'en doute c'est pas le même protocole niv 4 et en plus c'est pas forcement la même source de retour). Sinon et c'est plus probable il faut autoriser ,au moins, les 4 premiers types pour un bon fonctionnement d'IPv6.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 27 novembre 2015 à 22:58:09
kgersen, OpenBSD gère tous ces cas hors de PF directement si mes souvenirs sont bons, j'avais mis en prod plusieurs routeurs OpenBSD IPv6 il y a de cela 2 ans et aucun souci pour des serveurs à 2K connexions concurrentes. Pf est stateful et un minimum intelligent, comparé à netfilter. L'équipe OpenBSD a fait un gros travail sur IPv6 ces 2 dernières années
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 28 novembre 2015 à 14:54:07
Grâce à la team OpenBSD je me suis rendu compte que nous n'avons pas besoin d'isc-dhcp-client mais uniquement du dhclient natif ! merci à eux.
Le post précédent détaillé a été mis à jour en conséquence
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: corrector le 29 novembre 2015 à 07:08:43
En IPv6 il n'y a pas de fragmentation en cours d'acheminement.
Et en IPv4 tu vois beaucoup de paquets fragmentables?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: pixynico le 29 novembre 2015 à 12:20:02
Bonjour à tous

BM92 m'a dit de poster ici mon problème.
J'ai routeur EdgeRouter PoE v1.7.0 5 ports. J'ai effectué la conf de Gnubyte .
J'ai donc la livebox en eth0 avec les box TV (2) dessus, l'ONT en eth1 et des switch sur eth2,3 et 4.
Mon problème est que tous les jours, je perds à un moment donné le PPPOE et l'adresse IP change, toute connexion est alors coupée.
Je suis en train de lire ce post, y'a t-il une solution à mon problème. Que dois-je appliqué si c'est possible ?
Voici ma conf actuelle
firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from Internet to LAN"
        enable-default-log
        rule 1 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "packets from Internet to the router"
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    options {
        mss-clamp {
            mss 1452
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        aging 300
        bridged-conntrack disable
        hello-time 2
        max-age 20
        priority 32768
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        address 192.168.2.1/24
        description LIVEBOX
        duplex auto
        speed auto
        vif 835 {
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description TV
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description TV
        }
        vif 851 {
            bridge-group {
                bridge br0
            }
            description VoIP
        }
    }
    ethernet eth1 {
        description Internet
        duplex auto
        speed auto
        vif 835 {
            address dhcp
            description FTTH
            pppoe 0 {
                default-route auto
                firewall {
                    in {
                        name WAN_IN
                    }
                    local {
                        name WAN_LOCAL
                    }
                }
                mtu 1492
                name-server auto
                password xxxxxxx
                user-id fti/xxxxxx
            }
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description TV
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description TV
        }
        vif 851 {
            bridge-group {
                bridge br0
            }
            description VoIP
        }
    }
    ethernet eth2 {
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth3 {
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    ethernet eth4 {
        duplex auto
        poe {
            output off
        }
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.1.1/24
        description SWITCH
        mtu 1500
        switch-port {
            interface eth2
            interface eth3
            interface eth4
        }
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface switch0
    lan-interface eth1
    lan-interface eth0
    rule 1 {
        description Domoticz
        forward-to {
            address 192.168.1.18
            port 8088
        }
        original-port 8088
        protocol tcp_udp
    }
    rule 2 {
        description VHS(http)
        forward-to {
            address 192.168.1.22
            port 8089
        }
        original-port 8089
        protocol tcp_udp
    }
    rule 3 {
        description VHS(https)
        forward-to {
            address 192.168.1.22
            port 4443
        }
        original-port 4443
        protocol tcp_udp
    }
    rule 4 {
        description QNAP(https)
        forward-to {
            address 192.168.1.3
            port 5443
        }
        original-port 5443
        protocol tcp_udp
    }
    rule 5 {
        description QNAP(http)
        forward-to {
            address 192.168.1.3
            port 8880
        }
        original-port 8880
        protocol tcp_udp
    }
    rule 6 {
        description EDGE
        forward-to {
            address 192.168.1.1
            port 443
        }
        original-port 443
        protocol tcp_udp
    }
    wan-interface pppoe0
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LIVEBOX {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 192.168.2.1
                lease 86400
                start 192.168.2.22 {
                    stop 192.168.2.200
                }
            }
        }
        shared-network-name SWITCH {
            authoritative disable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.1
                lease 86400
                start 192.168.1.2 {
                    stop 192.168.1.200
                }
                static-mapping BureauA {
                    ip-address 192.168.1.92
                    mac-address d8:cb:8a:50:0a:83
                }
                static-mapping NICOQNAP {
                    ip-address 192.168.1.3
                    mac-address 00:08:9b:f3:4a:ea
                }
                static-mapping PS3 {
                    ip-address 192.168.1.20
                    mac-address 44:94:fc:a4:2f:7b
                }
                static-mapping VHS {
                    ip-address 192.168.1.22
                    mac-address 6c:62:6d:b3:eb:d8
                }
                static-mapping raspberrypi {
                    ip-address 192.168.1.18
                    mac-address b8:27:eb:33:b7:97
                }
            }
        }
    }
    dns {
        dynamic {
            interface pppoe0 {
                service dyndns {
                    host-name xxxxxxx.ddns.net
                    login xxxxxx
                    password xxxxxxx
                }
            }
        }
        forwarding {
            cache-size 1000
            listen-on eth0
            listen-on switch0
        }
    }
    gui {
        https-port 443
    }
    mdns {
        reflector
    }
    nat {
        rule 5010 {
            outbound-interface pppoe0
            type masquerade
        }
    }
    pppoe-server {
        authentication {
            local-users {
                username fti/xxxxxxx {
                    password xxxxxxx
                }
            }
            mode local
        }
        client-ip-pool {
            start 192.168.2.210
            stop 192.168.2.220
        }
        dns-servers {
            server-1 80.10.246.2
            server-2 80.10.246.129
        }
        interface eth0.835
        mtu 1492
    }
    ssh {
        port 22
        protocol-version v2
    }
    upnp2 {
        listen-on eth0
        listen-on switch0
        nat-pmp enable
        secure-mode disable
        wan pppoe0
    }
}
system {
    config-management {
        commit-revisions 50
    }
    host-name ubnt
    login {
        user ubnt {
            authentication {
                encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
            }
            level admin
        }
    }
    name-server 8.8.8.8
    name-server 8.8.4.4
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
        repository wheezy-security {
            components main
            distribution wheezy/updates
            password ""
            url http://security.debian.org
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
    }
    time-zone Europe/Paris
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 29 novembre 2015 à 13:08:25
Franchement, je n'ai pas compris pourquoi il t'a demandé de poster ici...

Même si il s'avérait que DHCP est déjà disponible pour toi, ça ne change rien à l'ancien fonctionnement en PPPoE. Personnellement, une connexion PPPoE qui tombe, je regarderais du coté de la qualité des cables Ethernet...

En tout cas rien à voir avec DHCP...

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: pixynico le 29 novembre 2015 à 13:11:24
Franchement, je n'ai pas compris pourquoi il t'a demandé de poster ici...

Même si il s'avérait que DHCP est déjà disponible pour toi, ça ne change rien à l'ancien fonctionnement en PPPoE. Personnellement, une connexion PPPoE qui tombe, je regarderais du coté de la qualité des cables Ethernet...

En tout cas rien à voir avec DHCP...



Ok merci

je vais essayé de comprendre pourquoi ça flanche alors
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: BM92 le 29 novembre 2015 à 13:23:32
Franchement, je n'ai pas compris pourquoi il t'a demandé de poster ici...

Bonjour,
Parce que je pensais qu'il avais modifier sa config pour le futur IPV6
Si c'est pas le cas alors désoler  :-\
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: pixynico le 29 novembre 2015 à 13:29:08
Bonjour,
Parce que je pensais qu'il avais modifier sa config pour le futur IPV6
Si c'est pas le cas alors désoler  :-\
Merci quand même BM92, c'est gentil de m'aider
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 02 décembre 2015 à 19:30:40
Petit update de mon tuto OpenBSD pour ajouter UDP en set prio 1/0 qui permet de bien rétablir le débit en UDP (sinon c'est la cata), et pas besoin de custom autre que cela pour le dhcp
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 02 décembre 2015 à 19:34:28
Si j'ai bien compris @nerzhul chez toi pas besoin de passer les requêtes DHCP en prio 6 pour que le client DHCP fonctionne ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 02 décembre 2015 à 19:35:53
non ca répond au bout de 3 requêtes chez moi
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 02 décembre 2015 à 19:40:19
Output:

DHCPREQUEST on vlan832 to 255.255.255.255
DHCPREQUEST on vlan832 to 255.255.255.255
DHCPREQUEST on vlan832 to 255.255.255.255
DHCPDISCOVER on vlan832 - interval 3
DHCPOFFER from 86.246.XXX.1 (a0:f3:e4:aa:bb:cc)
DHCPREQUEST on vlan832 to 255.255.255.255
DHCPACK from 86.246.XXX.1 (a0:f3:e4:aa:bb:cc)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 03 décembre 2015 à 14:45:50
Tu n'avais pas dis que par défaut la priorité est à 3 avec openbsd? c'est peut être suffisant. Dans mon cas jusqu'à présent les requêtes DHCP sans priorité sont ignoré par orange. Mais je réessaierai.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 03 décembre 2015 à 15:10:51
zommak c'est suffisant pour que ca fonctionne mais le débit est divisé par... 100...
Tu as toujours une priorité indiquée mais peut être que Linux n'envoie pas la même, à regarder avec un pcap
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 03 décembre 2015 à 17:03:38
Je me suis peut être mal exprimé,ma question c'est les requêtes DHCP que tu envoie actuellement elles ont quel niveau de priorité? Parce que moi pour le moment si mes requêtes ont une priorité à 0 je n'ai pas de réponse au niveau du serveur. Et toi tu dis que tu n'as pas à passer en prio 6 pour avoir une réponse des DHCP d'orange.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: nerzhul le 03 décembre 2015 à 17:22:06
J'ai testé, elles sont en priorité 0 mais il faut attendre la 3e requête pour avoir une réponse
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zommak le 03 décembre 2015 à 17:38:31
ok j'ai retesté ça ne marche pas chez moi il faut absolument que je sois en prio 6 sinon 0 réponse même en attendant 40 requêtes

j'ai updaté l'intro pour cité ton post pour configurer openbsd
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/ERL/openbsd)
Posté par: kgersen le 03 décembre 2015 à 17:51:07
Pourquoi vous ne faites pas une capture de ce que la Livebox fait plutôt que de tâtonner ... la base des bypass de box c'est de commencer par faire une capture de la vraie box pour ensuite 'reproduire' son comportement.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/ERL/openbsd)
Posté par: zoc le 03 décembre 2015 à 17:52:35
Avec la box, les requêtes DHCP sont en prio 6.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/ERL/openbsd)
Posté par: nerzhul le 03 décembre 2015 à 21:15:52
étrange depuis ce soir dhcpv6 ne fonctionne plus, ca a coupé. Par contre NP pour dhcpv4
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/ERL/openbsd)
Posté par: zommak le 04 décembre 2015 à 00:03:49
Pourquoi vous ne faites pas une capture de ce que la Livebox fait plutôt que de tâtonner ... la base des bypass de box c'est de commencer par faire une capture de la vraie box pour ensuite 'reproduire' son comportement.
C'est ce que j'avais fait, je voulais juste comprendre pourquoi Nerzhul arrivait à faire des requêtes DHCP sans prio je trouve ça étrange

étrange depuis ce soir dhcpv6 ne fonctionne plus, ca a coupé. Par contre NP pour dhcpv4
J'ai aussi un problème sur l'ipv6 depuis quelques jours. je pensais que c'était lié à une de mes modifs mais du coup je me pose des questions. Je vais rebrancher la box pour voir si elle arrive à obtenir le prefixe
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/ERL/openbsd)
Posté par: nerzhul le 04 décembre 2015 à 00:06:35
Peut être que la couche VLAN des BSD est plus robuste que celles des Linux en terme d'implémentation ? C'est celle qu'on retrouve dans la plupart des gros constructeurs (CISCO, Juniper)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/ERL/openbsd)
Posté par: MikeTheFreeman le 04 décembre 2015 à 09:32:33
Avec le temps, on a des retours positifs concernant les perfs avec un ERL sur la nouvelle config en DHCPv4 + DHCPv6 ?

Le sujet sur ubnt n'a pas fait l'objet de réponse (je le relance ce soir si je m'en souviens).

Deux questions m’intéressent :
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/ERL/openbsd)
Posté par: zoc le 04 décembre 2015 à 10:39:26
Pour l'ERL  je ne peux pour l'instant pas faire de retour sur les perfs ni garantir que c'est tout simplement faisable car toujours pas de DHCP chez moi...

Je pense qu'on ne va pas échapper aux modifications de scripts du firmware car il est à mon avis peu probable que nos requêtes de modification soient prises en compte, en tout cas pour le firmware 1.8 (qui est passé en bêta et si je comprends bien ca veut également dire "feature freeze")

Dans le même genre de problématique ça risque d'être encore plus compliqué pour IPv6, car d'une part pour l'instant personne n'a réussi à le faire fonctionner avec dhclient, et d'autre part la config DHCPv6 de l'ERL ne permet pas du tout de configurer les options obligatoires, même pas le vendor et user class id...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/ERL/openbsd)
Posté par: kgersen le 04 décembre 2015 à 18:46:08
Le souci c'est d'avoir des personnes connaissant bien l'ERL pour mettre au point la config ET qu'ils soient abonnés Orange FTTH ET qu'ils aient leur ligne Orange migrée en DHCP...
Pour l'instant y'a bien zoc et moi-meme mais on n'est pas encore en DHCP donc il faut attendre ou il faudrait que d'autres "volontaires expérimentés" ayant la bonne ligne s'y mettent.

sinon y'a gns3 et autre outils de simulation je vais voir si j'ai un moment mais ca n'est pas comme 'un vrai ERL'.

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zommak le 05 décembre 2015 à 23:55:11
J'ai mis à jour le sujet pour préciser que c'est à tester pour l'ERL
Clairement l'un des gros problème risque d'être le DHCPv6 étant donné que l'ERL utilise dhclient-isc, et que pour le moment je n'ai pas réussi à utiliser ce client pour récupérer le préfix
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zommak le 09 décembre 2015 à 17:23:31
J'ai mis à jour mon script executé par dibbler, j'ai rajouté la configuration de l'ipv6 pour la box (je lui attribue un /60) et je configure toutes mes routes

#!/bin/bash
LAN=net0
WAN=eth0.832
taille=${#PREFIX1}
taille=$((taille-4))

cat > /etc/radvd.conf << EOF
interface ${LAN}
{
     AdvSendAdvert on;
     prefix ${PREFIX1:0:taille}10::/64
     {

         AdvOnLink on;
         AdvPreferredLifetime 86400;
         AdvValidLifetime 86400;
         AdvAutonomous on;
   # AdvRouterAddr on;
     };
RDNSS ${PREFIX1:0:taille}10::1
        {
                AdvRDNSSLifetime 30;
        };
};
EOF
cat > /etc/dibbler/server.conf << EOF
log-level 8
log-mode short
iface "${LAN}" {
 T1 43200
 T2 69120
 prefered-lifetime 86400
 valid-lifetime 86400
option 11 duid 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
 pd-class {
        pd-pool ${PREFIX1:0:taille}c0::/58
        pd-length 60
    }
}
EOF

mv /etc/ip6deconf-new.sh /etc/ip6deconf-old.sh
cat > /etc/ip6conf.sh << EOF
/etc/ip6deconf-old.sh
#ip -6 route flush ${PREFIX1:0:taille}10::
#ip -6 route flush default
#ip -6 addr add ${PREFIX1}1/64 dev ${WAN}
ip -6 route add fe80::ba0:bab dev ${WAN}
ip -6 route add default via fe80::ba0:bab dev ${WAN}
ip -6 route add ${PREFIX1:0:taille}10::/64 dev ${LAN}
ip -6 route add fe80::(remplacer par l'ipv6local de la box) dev net0
ip -6 route add ${PREFIX1:0:taille}c0::/60 via fe80::(remplacer par l'ipv6local de la box) dev ${LAN}
ip -6 addr add ${PREFIX1:0:taille}10::1/64 dev ${LAN}
systemctl restart radvd ##J'utilise systemd pour gérer mes démons et donc pour redemarrer radvd
EOF
cat > /etc/ip6deconf-new.sh << EOF
#ip -6 route flush ${PREFIX1:0:taille}10::
#ip -6 route flush default
#ip -6 addr del ${PREFIX1}1 dev ${WAN}
ip -6 route del fe80::ba0:bab dev ${WAN}
ip -6 route del default via fe80::ba0:bab dev ${WAN}
ip -6 route del ${PREFIX1:0:taille}10:: dev ${LAN}
ip -6 addr del ${PREFIX1:0:taille}10::1/64 dev ${LAN}
EOF
chmod +x /etc/ip6conf.sh
chmod +x /etc/ip6deconf-new.sh
/etc/ip6conf.sh
systemctl restart dibbler-server ##J'utilise systemd pour gérer mes démons et donc pour redemarrer le serveur dibbler

petites notes pour ceux qui auraient le même soucis que moi. Malgrès l'activation du forwarding en ipv6 j'ai l'autoconf qui restait activé sur tout mes ports réseaux m'ajoutant des routes locales qui empêchait l'ipv6 de fonctionner
J'ai donc d'abord modifié les options avec sysctl avec un fichier dans  sysctl.d (à adapter selon vos interfaces réseaux et théoriquement all et défaut devrait suffire)
net.ipv6.conf.all.forwarding=1
net.ipv6.conf.all.autoconf=0
net.ipv6.conf.default.autoconf=0
net.ipv6.conf.eth0.autoconf=0
net.ipv6.conf.eth0/832.autoconf=0
net.ipv6.conf.eth1.autoconf=0
net.ipv6.conf.eth1/832.autoconf=0
net.ipv6.conf.lo.autoconf=0
net.ipv6.conf.net0.autoconf=0
net.ipv6.conf.tap0.autoconf=0
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.accept_ra = 1
net.ipv6.conf.eth0.accept_ra = 0
net.ipv6.conf.eth0/832.accept_ra = 0
net.ipv6.conf.eth1.accept_ra = 0
net.ipv6.conf.eth1/832.accept_ra = 0
net.ipv6.conf.lo.accept_ra = 1
net.ipv6.conf.net0.accept_ra = 0
net.ipv6.conf.tap0.accept_ra = 0

et je redémarre toute les interfaces avant de démarrer les démons dhcp
#!/bin/bash
INTERFACE=(eth0 eth0.832 eth1 eth1.832 net0 tap0 wlan0)
for i in 0 1 2 3 4 5 6; do
ifconfig ${INTERFACE[i]} down
ifconfig ${INTERFACE[i]} up
done

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zommak le 10 décembre 2015 à 17:20:10
Petite news pour le dhclient-isc

On peut envoyer des options en ipv6 en ajoutant un dhcp6. devant les options

/etc/dhclientv6.conf :
option dhcp6.auth code 11 = string;
option dhcp6.vendorclass code 16 = string;
option dhcp6.userclass code 15 = string;
send dhcp6.vendorclass  00:00:04:0e:00:05:73:61:67:65:6d;
send dhcp6.userclass 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
send dhcp6.auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*;

et on peut démarrer le client avec dhclient -6 -P eth0.832 -D LL -cf /etc/dhclientv6.conf
en v6 le client n'utilise plus de raw socket mais bien un port udp donc il faut penser à ajouter les même règles que pour dibbler
j'ai aussi rajouté une règle pour tagguer les paquets avec le dscp CS6 (la box le fait)
ip6tables -t mangle -A POSTROUTING -o eth0.832 -p udp --dport 547 -j DSCP --set-dscp-class CS6

Sauf que pour le moment ça ne marche pas pas de réponse des serveurs
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: BM92 le 10 décembre 2015 à 23:30:04
Bonjour zommak
Bon cela s'annonce pas trop mal cette histoire d'IPV6
Il vas falloir voir cela au final mais soyons patient  ;D
Merci pour ton coup et de main  ;D
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: BM92 le 11 janvier 2016 à 22:16:45
Ce sujet ne pourrait pas vous aidé ?

Enabling IPV6 (http://community.ubnt.com/t5/EdgeMAX-Beta/Enabling-IPV6/m-p/1436549/thread-id/13502)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: stefauresi le 29 janvier 2016 à 10:39:19
Bonjour,

Quelqu'un est-il parvenu à  faire fonctionner tout ça sur Pfsense ?

Edit : en DHCP ipv4 c'est bon , reste la partie ipv6 ..... là je galère
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zommak le 29 janvier 2016 à 14:46:51
Bonjour,

Je dois dire que je n'ai pas eu le temps de me repencher dessus, mais peut être que si tu mets une capture d'écran de ta configuration pour l'ipv6 on pourra trouver ce qui cloche.  De mon côté je n'ai par contre jamais utilisé pfsense et je dois dire que je vais pas avoir trop le temps de me l'installer pour voir dans les prochain temps. Mais si tu as réussi en ipv4 j'imagine qu'il n'y a pas de raison que l'ipv6 ne marche pas. Tu as bien mis les code d'option adapté à l'au DHCPv6  et activé la délégation de préfix?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 29 janvier 2016 à 14:51:35
Edit : en DHCP ipv4 c'est bon , reste la partie ipv6 ..... là je galère

c'est du dhcp-pd a priori.

je ne sais pas si l'interface graphique de pfsense permet cela.

au besoin fait une capture avec la livebox normale avant et poste la ici.

au vue du 1er post (config dibbler):

iface "eth0.832" {
pd ### on demande une délégation de prefix ipv6 (c'est un /56)
option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*
}

il faut donc sur l'interface wan (vlan 832) avoir un client DHCPv6 qui fait non pas une demande d'adresse mais une demande de 'prefix delegation' en passant 3 options:
option 16 = OPTION_VENDOR_CLASS   = 'sagem'
option 15 = OPTION_USER_CLASS = '+FSVDSL_livebox.Internet.softathome.livebox3'
option 11 = OPTION_AUTH  = mettre ton identifiant fti/... , utiliser le script de zoc ou https://dartpad.dartlang.org/a3d79508ca014696dafd pour avoir la chaine hexa qui va bien.

une fois le prefix recu (un /56) il faut que Pfsense prennent un /64 dedans (le 1er mais pas obligé) pour configurer la partie LAN.
Ensuite avec radvd (pour faire du SLAAC), pfsense peut diffuser l'info aux clients du LAN. Mais la c'est libre tu peux utiliser DHCPv6 sur le LAN si tu preferes ca a SLAAC.

Il faut bien comprendre que, a priori, l'interface WAN n'a pas d'IPv6 public, elle n'a que son IPv6 link-local, généré automatiquement (donc IPv6 commençant par fe80).


Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: stefauresi le 29 janvier 2016 à 15:18:28
je viens de rebrancher la livebox et curieusement l'activation ipv6 est en cours maintenant , j'ai l'impression que d'avoir fait des test avec pfSense a fait "sauter" l'ipv6 .....
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 29 janvier 2016 à 15:21:30
t'as quoi sur http://192.168.1.1/supportSystemInformationInternet.html ? t'es toujours en DHCP ou t'es repassé en PPP ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: stefauresi le 29 janvier 2016 à 15:25:14
je suis bien en DHCP

2.15 VLAN 832
2.16 mode DHCP
2.17 encapsulation 802.1q
2.18 chemin de donnée Fast

Actuellement, le statut de votre connectivité IPv6 est :en cours
J'avais pourtant l'ipv6 actif juste avant de faire joujou avec pfsense

edit : 20min plus tard toujours en cours..... :-\
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 29 janvier 2016 à 16:04:44
Le mieux a ce niveau c'est de faire une capture entre la livebox et l'ONT et regarder ce qui se passe.

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: stefauresi le 29 janvier 2016 à 18:23:26

Avec pfSense ça marche en DHCP ipv4 mais avec des débits tres bas ..... j'arrive pas a améliorer ça 
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 29 janvier 2016 à 18:47:42
c'est quoi comme machine? elle n'est peut être pas assez puissante.

Sinon Il faut faire  attention au tagging QoS (802.1p), Orange limite le débit si on est pas dans la bonne classe mais ca ne concerne que les flux sortant a priori.

Si besoin , dans PfSense , dans la partie Firewall il a y possibilité de changer les tags 802.1p dans la partie "advanced" d'une règle (tout en bas)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: stefauresi le 29 janvier 2016 à 18:52:24
pfsense tourne sur un i5-2500 (3.3Ghz), 4 Go de ram , carte dual NIC intel pro-1000
 
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 29 janvier 2016 à 18:59:23
pfsense tourne sur un i5-2500 (3.3Ghz), 4 Go de ram , carte dual NIC intel pro-1000

ca devrait aller donc a moins d'un souci de drivers.

Sinon test en local le debit en mettant un PC de chaque coté (avec VLAN d'un coté).

Ca permettra de valider la machine avant d'investiguer ailleurs.





Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: stefauresi le 29 janvier 2016 à 19:04:21
en PPPoE j'ai 921/246 sur speedtest , mais en DHCP 70/2  :-\
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 29 janvier 2016 à 19:05:36
 ;D

c'est la QoS alors.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: stefauresi le 31 janvier 2016 à 13:39:04
je galère grave avec la Qos et prio sur pfSense 2.2.6.....

quelqu'un a-t-il essayé sur pfSense ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 31 janvier 2016 à 14:33:00
fait une capture avant pour voir si c'est bien ca le probleme.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Mastah le 05 février 2016 à 14:00:22
Avec pfSense ça marche en DHCP ipv4 mais avec des débits tres bas ..... j'arrive pas a améliorer ça

Salut

Il y a moyen que tu fasses une capture d'écran de la config WAN pour les options DHCP, etc. sous pfsense ?
Ou encore mieux un copié/colle du nom du champ + la valeur associé ?

Merci !!
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: stefauresi le 05 février 2016 à 14:48:42
Salut

Il y a moyen que tu fasses une capture d'écran de la config WAN pour les options DHCP, etc. sous pfsense ?
Ou encore mieux un copié/colle du nom du champ + la valeur associé ?

Merci !!

Bonjour,

dhcp-class-identifier = "sagem", user-class "+FSVDSL_livebox.Internet.softathome.Livebox3", option-90 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:XX:XX:XX:XX:XX:XX:XX


subnet-mask, broadcast-address, routers, dhcp-requested-address, dhcp-server-identifier, dhcp-class-identifier, dhcp-client-identifier, option-90


fonctionne sous pfSense 2.2 trouvable ici

https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-pfsense/msg204130/#msg204130

Sous pfSense 2.2 tu as un champ priority pour les vlan qui n'existe plus sous 2.2.6

Sous pfSense 2.2.6 il faut tagger la priorité 6 au vlan 832

sous l'invite de commande exemple : ifconfig vlan_832 vlanpcp 6
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Mastah le 05 février 2016 à 15:04:52
Tu as réglé tes problèmes de débit pour le coup ?

Et tu as fait l'ensemble en éditant le fichier de config.inc ou sur l'interface ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 05 février 2016 à 15:51:54
Pour régler les problèmes de débit c'est "simple" (dans la théorie, après je ne connais pas pfSense):
- Le traffic sortant DHCP soit avoir une priorité 6 (sinon pas de réponse)
- Le traffic sortant Internet hors SIP/VOIP doit avoir la priorité 0 (sinon les équipemetns d'Orange shapent le traffic si ça sort en prio 6 également).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 05 février 2016 à 21:53:10
j'avance sur la conf ERL mais ca bloque sur la QoS aussi.

j'ai relancer dans le thread chez Ubnt. (fzoc = zoc je presume ?:p )
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 05 février 2016 à 21:55:26
Oui  ;D

Perso je pense qu'on ne s'en sortira pas avec les règles de traffic-policy de l'ERL. Il va falloir faire des règles iptables à la main... Celles de @zommak en gros, et mettre l'egress à 0:6 1:0 2:2 3:3 4:4 5:5 6:6 7:7


Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 05 février 2016 à 22:02:28
mouais j'en ai peur...

l'ERL a 2 gros défauts:

- son code qui n'est pas open source (sinon le probleme serait déjà reglé).
- sa surcouche EdgeOS c'est de la daube !
 ;D


Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: akeix le 06 février 2016 à 08:08:10
Bonjour,

Il me semble fournit les sources (sauf ceux de U-Boot) :

Si cela peut aider.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 06 février 2016 à 08:26:46
Bonjour,

Il me semble fournit les sources (sauf ceux de U-Boot) :
  • ERL : https://www.ubnt.com/download/edgemax/edgerouter-lite/default/er-e100v1704783374tar (https://www.ubnt.com/download/edgemax/edgerouter-lite/default/er-e100v1704783374tar)
  • ERPoE5 : https://www.ubnt.com/download/edgemax/edgerouter-poe/erpoe5/er-e100v1704783374tar (https://www.ubnt.com/download/edgemax/edgerouter-poe/erpoe5/er-e100v1704783374tar)

Si cela peut aider.

Ca n'est pas le source complet et prêt a compiler. ce sont les sources des composants GPL qu'ils se doivent de publier.
les parties intéressantes ne sont pas dedans:

Citer
*Ubiquiti does not provide downloads of some legacy software and firmware, due to regulatory restrictions and security considerations. It is always recommended that you run the latest software to ensure greatest performance and security. If you require older versions of the software, please email

C'est exactement comme http://floss.freebox.fr/, ca donne les composants GPL mais ca ne permet de se faire soi-meme un firmware pour la freebox.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: corrector le 06 février 2016 à 10:44:17
On se demande quelles sont ces "regulations" qui impliquent des "regulatory restrictions"...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 07 février 2016 à 10:33:55
j'ai changé l'OS de mon ERL pour mettre OpenWRT (ca prend 2 minutes à  faire (https://wiki.openwrt.org/toh/ubiquiti/edgerouter.lite)), je vais si y'a moyen de configurer une connexion FTTH Orange DHCP+DHCPv6-PD mais je n'anticipe pas un débit correct vu le manque d'offload.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: stefauresi le 07 février 2016 à 11:31:29
j'ai changé l'OS de mon ERL pour mettre OpenWRT (ca prend 2 minutes à  faire (https://wiki.openwrt.org/toh/ubiquiti/edgerouter.lite)), je vais si y'a moyen de configurer une connexion FTTH Orange DHCP+DHCPv6-PD mais je n'anticipe pas un débit correct vu le manque d'offload.

bonne idée sachant que openwrt existe en version x86  ;) je pourrais transposer tes tests  :P
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 07 février 2016 à 14:09:31
Ben en fait openwrt, comme EdgeOS, n'est qu'un surcouche au dessus de Linux.
Cette surchouche est assez rigide et limitée en pratique.
Pour arriver a nos fins il faut faire dans Openwrt ce que zommak  a résumer dans le 1er post...
Il faut donc installer le module dhcpcd et désactiver les modules odhcpd et odhcp6c qui sont trop simples pour ce qu'on veut.
A partir de la, on perd la config 'facile' via uci (ligne de commande) ou luci (web) et on doit éditer manuellement dhcpd.conf.

pour les regles de QoS c'est pareil y'a tout iptables en dessous mais pas d'UI facile (on peut toutefois coller les règles bas niveau dans la section "Custom Rules" de l'interface Web du firewall).

et y'a vconfig pour faire la map mais pas d'interface non plus.

En fait donc c'est 100% de la config a la main comme sur un Linux de base. Je ne pense donc pas insister plus, y'a peu d’intérêt pour le moment. Je reviendrai sur une config OpenWrt pour l'ERL si ca n'abouti avec Ubiquiti (et l'offload donc) pour le fonctionnement avec Orange.

Je vais tester avec FreeBSD (en me basant sur la conf OpenBSD de Nerzhul vu que PF est quasi le meme) pour voir ce que ca donne en terme de débit IPv6 (on sait déjà qu'en IPv4 sous FreeBSD l'ERL plafonne a 250Mbps).

Dans tout les cas, l'idée est de trouver une solution pour nos ERL sinon on devra les jeter quand Orange arrêtera le PPPoE (ou si on veut absolument IPv6 des maintenant)...

Pour le moment on a 3 pistes:
- l'OS d'origine d'Ubiquiti avec offload  - impossible ou alors très complexe à  faire
- OpenWRT - faisable en théorie - performance inconnue
- FreeBSD - faisable en théorie - performance inconnue en IPv6.

Mais j'ai beaucoup de doutes et il faudrait aussi commencer a regarder les autres routeurs du marché car l'ERL est peut être dépassé la.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: MikeTheFreeman le 07 février 2016 à 14:32:20
Et sinon le moindre mal ne serait pas de mettre l'ERL dans la dmz de la livebox ?
On perd un peu de latence et sûrement quelques fonctionnalités (nat loopback ?) mais le gros serait conservé (perfs, fonctions etc).

PS: bien sûr je parle en tant qu'utilisateur d'une config ERL+Livebox, j'imagine que pour ceux qui ont viré la livebox, c'est une autre histoire.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: BM92 le 07 février 2016 à 14:35:16
Dans tout les cas, l'idée est de trouver une solution pour nos ERL sinon on devra les jeter quand Orange arrêtera le PPPoE (ou si on veut absolument IPv6 des maintenant)...

Ubiquiti n'est pas capable de nous pondre un truc qui tienne la route ?
C'est quant même dingue

- l'OS d'origine d'Ubiquiti avec offload  - impossible ou alors très complexe à  faire

Et sans offload cela donnerait quoi en débit et à  faire
Je dis cela car en attendant une solution cela nous éviterais d'acheter un autre routeur

Mais j'ai beaucoup de doutes et il faudrait aussi commencer a regarder les autres routeurs du marché car l'ERL est peut être dépassé la.

Ouai ben c'est pas pour de suite
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 07 février 2016 à 14:37:58
Perso, rebrancher la livebox 3, c'est non, vu la stabilité.

Après on peut rêver d'une "Nouvelle Livebox" en 2016 qui soit suffisamment performante. L'idéal serait un fonctionnement possible en mode bridge, mais je n'y crois pas une seconde.

J'attends également les retours sur d'autres solutions, comme les APU2 de PC Engines. Si les perfs suivent, je mettrai un Linux sans surcouche dessus: C'est un peu plus chiant et long à configurer mais au moins tu n'es pas limité par une surcouche et tu peux choisir quels implémentations (DHCP notamment) tu veux utiliser...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 07 février 2016 à 14:39:16
Ubiquiti n'est pas capable de nous pondre un truc qui tienne la route ?
Ubiquiti ne va surement pas faire d'efforts uniquement pour des clients d'Orange...

Clairement, pour simuler au mieux une Livebox, il faudrait un kernel Linux patché avec les modifications d'Orange. Et Ubiquiti ne va jamais intégrer des patchs d'Orange dans un kernel. Typiquement, les packets ARP en priorité 6, c'est impossible à faire sans patcher le kernel ou tout "prioritiser" par défaut à 6 (ce qui pose d'autres problèmes)...

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Je@nb le 07 février 2016 à 14:42:37
Si c'est que ça ...
Un kernel ça se recompile, surtout que maintenant l'environnement de cross compil récupérable sur le site de l'éditeur du chip.
Faut juste espérer que les versions de noyals sont similaire pour pas avoir à galérer à backporter les patchs.

Après faut voir comment orange fait sa QoS (iptables/classify ? paquets dhcp qui envoie directement la bonne valeur ?)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 07 février 2016 à 14:52:15
Après faut voir comment orange fait sa QoS (iptables/classify ? paquets dhcp qui envoie directement la bonne valeur ?)
De ce que j'ai pu voir dans les source du kernel de la Livebox 3, c'est probablement un mélange des 2 : Pour ARP et IGMP, skb_priority est mis à la bonne valeur par des patchs du noyau. Pour le reste je n'ai pas vu de modifications spécifiques hormis un patch du code de la target CLASSIFY pour tenir compte du DSCP si j'ai bien compris, ce qui voudrait dire qu'ils l'utilisent également.

Mais évidemment on n'a pas la configuration de leur règles iptables, ils ne sont pas tenus de la diffuser, contrairement aux modifications qu'ils font dans le code sous licence GPL.

Par ailleurs, il n'y a pas dans les sources disponibles de client DHCP patché, ce qui veut dire qu'ils n'utilisent sans doute pas dhclient, mais au choix un client dhcp entièrement perso ou un client qui supporte de base l'ensemble des features dont ils ont besoin.

Après, il y a quand même 750 Mo de sources à analyser, donc voir toutes les modifications ça risque de prendre du temps.

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: BM92 le 07 février 2016 à 14:55:56
Perso, rebrancher la livebox 3, c'est non, vu la stabilité.

Ben oui mais mais dans quelques temps nous n'aurons plus le choix
Soit on trouve une solution logiciel et la je ne peu rien faire, ou on change de routeur.
Hors de question pour moi pour l'instant car le miens est neuf
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Je@nb le 07 février 2016 à 19:42:15
Ils aiment le cracra quand même :/
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 09 février 2016 à 12:07:13
Ca marche avec OpenBSD sur un ERL (reflashé avec cette méthode: http://ftp.openbsd.org/pub/OpenBSD/5.8/octeon/INSTALL.octeon )

du moins en IPv4 avec la conf de Nerzhul. Mais je n'obtient que 144 Mbps au mieux en download.

Si il y a un spécialiste d'OpenBSD ayant des astuces pour optimiser je suis preneur.

la conf est similaire au premier message pour pf.conf (firewall).


pour le reste:

Configurations à  faire en ligne de commande:

déclaration des interfaces:
echo inet 192.168.1.1 255.255.255.0 >/etc/hostname.cnmac0
echo up >/etc/hostname.cnmac1
echo inet 192.168.2.3 255.255.255.0 >/etc/hostname.cnmac2
echo dhcp vlan 832 vlandev cnmac1 >/etc/hostname.vlan832

cnmac0 =eth0 de l'erl = lan
cnmac1 = eth1 de l'erl
cnmac2 =eth2, je m'en sert pour faire des captures en live via wireshark tournant sur une machine branchée sur ce port.
vlan832= interface WAN , vlan 832 sur cnmac1 = eth1

activation du routage:
echo 'net.inet.ip.forwarding=1' >> /etc/sysctl.conf
configuration du dhcp client, à  mettre dans /etc/dhclient.conf:
interface "vlan832" {
        send dhcp-client-identifier 01:00:37:b7:xx:xx:xx; # @MAC de la livebox
        send dhcp-class-identifier "sagem";
        send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
        send option-90 00:00:00:00:00:00:00:00:00:00:00:66:74:69:.....; # fti/... en hexa
        request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, option-119, option-90, option-120;
}

activation du serveur DHCP pour le LAN
rcctl enable dhcpd
rcctl set dhcpd flags cnmac0
puis configuration du serveur DHCP à  mettre dans /etc/dhcpd.conf:
option domain-name-servers 192.168.1.1;
subnet 192.168.1.0 netmask 255.255.255.0 {
        option routers 192.168.1.1;
        range 192.168.1.100 192.168.1.200;
}

activation serveur DNS:
rcctl enable unbound
configuration serveur DNS à  mettre : /var/unbound/etc/unbound.conf
# $OpenBSD: unbound.conf,v 1.5 2015/07/19 17:29:42 sthen Exp $

server:
interface: 127.0.0.1
interface: 192.168.1.1
interface: 192.168.2.1
interface: ::1
#do-ip6: no

access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/8 allow
access-control: 192.168.1.0/24 allow
access-control: 192.168.2.0/24 allow
access-control: ::0/0 refuse
access-control: ::1 allow

hide-identity: yes
hide-version: yes

remote-control:
control-enable: yes
control-use-cert: no
control-interface: /var/run/unbound.sock

forward-zone:
name: "." # use for ALL queries
forward-addr: 8.8.8.8 # google.com
(je forward tout sur Google 8.8.8.8 , on peut mettre Orange ou un autre de son choix).

Firewall activation:
il est actif par defaut. pour le couper:
pfctl -dpour le remettre:
pfctl -epour actualiser dynamiquement si vous changer /etc/pf.conf:
pfctl -f /etc/pf.conf
config /etc/pf.conf:
# $OpenBSD: pf.conf,v 1.54 2014/08/23 05:49:42 deraadt Exp $
#
# See pf.conf(5) and /etc/examples/pf.conf
int_if="{ vlan832 cnmac0 }"
wan_iface="vlan832"
table <lan_v4> { 192.168.1.0/24 }

#set block-policy drop
set loginterface egress
set skip on lo0
# Tag every TCP packets on wan interface with vlan priority 0 (1 in PF because of 802.1p), in IPv4 & IPv6
match out on $wan_iface proto { tcp udp } set prio 1
#match out on egress inet from !(egress:network) to any nat-to (egress:0)
pass out quick on $wan_iface inet from <lan_v4> nat-to ($wan_iface) keep state
block all
pass out quick inet
pass in on $int_if inet

# nat clients to wan interface in IPv6
#pass out quick on $wan_iface inet6 from <lan_v6> keep state
j'ai sans doute oublié des trucs mais si vous en arrivez la vous trouverez surement de vous meme :p

ressources a consulter si besoin d'info sur OpenBSD:
http://www.openbsd.org/faq/faq6.html
http://www.openbsd.org/faq/pf/example1.html

annexe:
pour capturer les paquets sur le vlan832 en live et les envoyer via eth2 sur un wireshark tournant dans un PC (Windows) branché sur eth2. il suffit de saisir ceci sur le PC:

plink.exe -ssh -pw  mdp root@192.168.2.3 "tcpdump -ni vlan832 -s 2000 -w -" | "c:\Program Files\Wireshark\Wireshark.exe" -k -i -
mdp  = mot de passe root de l'ERL (configuré lors de l'installation d'openBSD).
(plink.exe & putty.exe a prendre ici: http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)
pour Mac/Linux c'est plus simple et vous connaissez déjà surement.

nb: ce type de capture ne permet pas de voir les tag vlan donc la prio 802.1x. pour capturer bas niveau il faut un switch avec port monitoring par exemple.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Mastah le 09 février 2016 à 14:47:34
Bonjour,

dhcp-class-identifier = "sagem", user-class "+FSVDSL_livebox.Internet.softathome.Livebox3", option-90 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:XX:XX:XX:XX:XX:XX:XX


subnet-mask, broadcast-address, routers, dhcp-requested-address, dhcp-server-identifier, dhcp-class-identifier, dhcp-client-identifier, option-90


fonctionne sous pfSense 2.2 trouvable ici

https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-pfsense/msg204130/#msg204130

Sous pfSense 2.2 tu as un champ priority pour les vlan qui n'existe plus sous 2.2.6

Sous pfSense 2.2.6 il faut tagger la priorité 6 au vlan 832

sous l'invite de commande exemple : ifconfig vlan_832 vlanpcp 6


Tu as réglé tes problèmes de débit pour le coup ?

Et tu as fait l'ensemble en éditant le fichier de config.inc ou sur l'interface http (je parle des options dhcp : dhcp-class-identifier) ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: grapplerbaki le 10 février 2016 à 03:05:17
Messieurs,

Je tenais à vous remercier pour votre travail et votre aide. J'avais un peu délaissé le forum par manque de temps et j’étais trop limité par ERL.
J'ai configuré mon router Mikrotik CCR1009 en DHCP grâce à vos infos (IPV6 n'est pas encore supporté), mon ERL va pouvoir reposer en paix :)
Bizarrement je n'ai pas eut besoin de modifier la priorité des vlan en 802.1p même si il le supporte.

Baki.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 10 février 2016 à 07:16:39
J'ai configuré mon router Mikrotik CCR1009 en DHCP
Sur le papier il à l'air très intéressant ce routeur (mais c'est pas le même prix que l'ERL), avec des perfs bien au delà du Gb (sur les gros paquets), comme on peut le voir ici: http://routerboard.com/CCR1009-8G-1S-PC

Et pour être tout à fait exact, RouterOS supporte bien IPv6, mais pas DHCP6-PD (si j'en crois le wiki qui fait office de manuel), ce qui rend effectivement en pratique IPv6 inutilisable chez Orange.

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: fouinix le 10 février 2016 à 09:10:34
T'es  sûr qu'il ne gère pas le DHCP6-PD? http://wiki.mikrotik.com/wiki/Manual:IPv6/DHCP_Client

Edit : Effectivement il manque des options : http://forum.mikrotik.com/viewtopic.php?t=104181 A suivre de près!
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jeremyp3 le 13 février 2016 à 12:39:22
bonjour,

je me pose une question toute bête pour la tv, aucun changement, toujours les vlan 838 et 840 avec les prio et bridgé ?

jerem
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: stefauresi le 13 février 2016 à 12:48:17

Tu as réglé tes problèmes de débit pour le coup ?

Et tu as fait l'ensemble en éditant le fichier de config.inc ou sur l'interface http (je parle des options dhcp : dhcp-class-identifier) ?

non j'ai laissé tomber , je vais acheter un Mikrotik.
Pfsense et la Qos c'est une galère qui me dépasse  :-\
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 13 février 2016 à 13:51:49
je me pose une question toute bête pour la tv, aucun changement, toujours les vlan 838 et 840 avec les prio et bridgé ?
La Livebox n'indique plus que 838...

Donc à priori, dans le cas d'une configuration sans Livebox, plus besoin du bridge entre 838 et 840, client DHCP à mettre sur ethX.840 au lieu du bridge, et configuration de l'igmpproxy à modifier (ethX.840 devient l'upstream).

Pour une configuration avec Livebox, la TV devrait fonctionner avec un bridge entre ethX.838 et ethY.838.

(Avec X et Y dépendant des branchements).

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jeremyp3 le 13 février 2016 à 14:51:23
La Livebox n'indique plus que 838...

Donc à priori, dans le cas d'une configuration sans Livebox, plus besoin du bridge entre 838 et 840, client DHCP à mettre sur ethX.840 au lieu du bridge, et configuration de l'igmpproxy à modifier (ethX.840 devient l'upstream).

hmmm, au début tu parle de la livebox qui ne donne plus que 838, et a la fin tu parle de 840 ? une erreur ou j'ai pas compris ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 13 février 2016 à 16:02:11
Erreur de ma part, corrigé, merci  :D
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 14 février 2016 à 16:24:39
Je commence a regarder comment avoir la téléphonie avec la livebox qui gère le téléphone:

ONT ---- Routeur Perso --- Livebox---Tel

Le Routeur Perso (ERL,linux,openbsd, pfsense, etc) est configuré comme indiqué au 1er post.

Si on veut que la livebox fonctionne pour le tel:

Il faut: faire office de serveur DHCP pour elle, lui filer la bonne config et lui acheminer les flux voix.

J'ai regardé la capture d'une livebox en situation.

On voit :
des échanges SIP (dans les 2 sens) sur le port UDP 5060 (register, subscribe, notify, invite, ringing, etc) (port distant=5060 aussi)
du flux RTP entrant et sortant sur le port UDP 8000  (port distant= 16132)
du flux RTCP entrant et sortant sur le port UDP 8001 (port distant= 16133)

Tout ces flux sont en DSCP 46, PCP 5 quelque soit le sens.

Il faut donc:
Par DHCP, fournir une IP privée et les bonnes options a la livebox. Elle va utiliser cette IP privée comme si c'était son IP public.
Dans le Routeur Perso, ouvrir les ports UDP 5060, 8000, 8001 vers cette IP privée (ouverture de port statique, tres classique).
Espérer que le trafic ne soit pas changer au niveau DSCP 46, PCP 5 par le mécanisme du NAT. Sinon il faudra intervenir a ce niveau.

Ca vous semble jouable ? l’hypothèse n°1 est bien sur que le serveur VoIP chez Orange envoi tout le temps les flux RTP sur le port 8000 sinon faudra s'adapter.

Le seul truc avec l'ERL que je ne sais pas encore faire c'est stocker la valeur 'sip-servers' (option 120) reçu en DHCP client coté WAN pour la fournir par DHCP server a Livebox coté LAN quand elle va faire sa requête DHCP. Va surement falloir faire un script bas niveau ou trafiquer les .pl
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zommak le 14 février 2016 à 19:24:16
De mon côté j'utilise la box en client (uniquement pour le téléphone) et je n'ai absolument pas besoin de de rediriger les ports, j'active simple le NAT vers le sous réseau de la box(il est indépendant du reste de ma configuration) ( a moins que tu parlais vraiment d'ouvrir les ports si tu bloques tout les ports en forwarding)

Pour ce qui est des config de l'option 120, j'ai simplement définit le paramètre manière fixe dans le fichier de configuration. Je suis parti du principe que c'était le genre de paramètre qui n'allaient pas changer tout les deux jours. Et si au pire si ils changent ce ne sera pas long à modifier à la main. Sinon il faudrait fait un script qui régénère le fichier de configuration du serveur DHCP avant de le redémarrer.

Je ne suis plus sûr de moi mais je crois qu'il est également important d'indiquer à la livebox l'adresse des DNS d'orange puisque ce sont les seuls à être capable de résoudre l'adresse des sip serveurs d'orange. (pour les autres clients j'utilise un resolveur DNS hébergé par mon routeur). Pour la prio j'ai une règle mangle, mais je ne suis plus très sûr qu'elle soit nécessaire.

Je vais essayer de faire ça prochainement en même temps que je regarderai si il est toujours indispensable de fixer la prio à 6 pour le dhcp (comme il me semble que tu as réussi à te connecter sans)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zommak le 14 février 2016 à 19:55:23
Bon j'ai testé à l'instant la prio 6 pour les paquets DHCP m'est toujours indispensable pour avoir une réponse

La prio 5 de la livebox est supprimé par le nat chez moi mais cela ne porte pas à conséquence pour le fonctionnement du téléphone.

voilà bonne soirée
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 14 février 2016 à 20:59:11
De mon côté j'utilise la box en client (uniquement pour le téléphone) et je n'ai absolument pas besoin de de rediriger les ports, j'active simple le NAT vers le sous réseau de la box(il est indépendant du reste de ma configuration) ( a moins que tu parlais vraiment d'ouvrir les ports si tu bloques tout les ports en forwarding)

donc un flux RTP port 8000 qui arrive sur ton IP public comment ton routeur sait qu'il faut le renvoyer a la livebox ? ou alors elle est le DMZ vis a vis de ton NAT , ce qui est plus large que d'ouvrir explicitement tel ou tel port et effectivement une meilleure solution vu que la livebox a son propre firewall.

Pour ce qui est des config de l'option 120, j'ai simplement définit le paramètre manière fixe dans le fichier de configuration. Je suis parti du principe que c'était le genre de paramètre qui n'allaient pas changer tout les deux jours. Et si au pire si ils changent ce ne sera pas long à modifier à la main. Sinon il faudrait fait un script qui régénère le fichier de configuration du serveur DHCP avant de le redémarrer.

Je ne suis plus sûr de moi mais je crois qu'il est également important d'indiquer à la livebox l'adresse des DNS d'orange puisque ce sont les seuls à être capable de résoudre l'adresse des sip serveurs d'orange. (pour les autres clients j'utilise un resolveur DNS hébergé par mon routeur). Pour la prio j'ai une règle mangle, mais je ne suis plus très sûr qu'elle soit nécessaire.

oui pour l'option 120  j'ai pensé a du fixe aussi mais ca peut poser probleme si on a n'a pas tous la meme valeur: certaines personnes n'ont pas forcement la capacité de faire une capture pour determiner leur valeur pour l'option 120. Enfin c'est secondaire pour le moment. on verra si le cas se présente.

Je vais essayer de faire ça prochainement en même temps que je regarderai si il est toujours indispensable de fixer la prio à 6 pour le dhcp (comme il me semble que tu as réussi à te connecter sans)

oui on a galérer pendant quelques jours car on pensait que la prio 6 était indispensable pour le dhcp suite a ton post initial. Mais dans les faits non: Nerzhul avec son OpenBSD et  moi avec l'ERL, on n'a pas eu besoin. la connexion DHCP marche meme avec une prio 0. Pour stefauresi  et son Pfsense ca n'est pas tres clair ou il en est.

Bon j'ai testé à l'instant la prio 6 pour les paquets DHCP m'est toujours indispensable pour avoir une réponse

C'est assez curieux ton cas. il y a peut-être un "effet de bord" quelque part. ou c'est propre a ton NRO ? mais c'est un fait que la livebox utilise pri 6 aussi.

La prio 5 de la livebox est supprimé par le nat chez moi mais cela ne porte pas à conséquence pour le fonctionnement du téléphone.

bon a savoir ca.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 14 février 2016 à 21:07:29
donc un flux RTP port 8000 qui arrive sur ton IP public comment ton routeur sait qu'il faut le renvoyer a la livebox ?
J'imagine qu'il utilise ip_nat_sip et ip_conntrack_sip d'iptables, qui inspectent automatiquement les paquets SIP préliminaires à l'établissement d'une communication et fait ce qu'il faut pour que les paquets RTP/RTCP arrivent là où il faut (l'ERL le fait aussi par défaut si le module n'est pas exclicitement désactivé).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 14 février 2016 à 21:31:02
J'imagine qu'il utilise ip_nat_sip et ip_conntrack_sip d'iptables, qui inspectent automatiquement les paquets SIP préliminaires à l'établissement d'une communication et fait ce qu'il faut pour que les paquets RTP/RTCP arrivent là où il faut (l'ERL le fait aussi par défaut si le module n'est pas exclicitement désactivé).

oh ok j'ai pas fait de SIP depuis très très longtemps, j'en était resté a sa veille incompatibilité avec le NAT a son origine...
Effectivement si de nos jours, y'a un NAT qui sait comprendre les paquets SIP pour savoir sur quels ports les flux RTP vont arriver ca devrait marcher tout seul. bon a savoir.

Donc y'a quasi rien a configurer. On peut meme laisser la livebox sur le meme LAN que tout le reste, pas besoin de dédier eth2 a la livebox sur l'ERL par exemple.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zommak le 14 février 2016 à 22:26:12
Merci pour l'explication, même si je me doutais qu'il existait un système permettant au NAT de trouver tout seul vers qui renvoyer les paquets je ne savais pas qu'il y avait des modules spécifiques pour SIP.

Pour la prio à 6 n'est il pas possible que l'ERL envoie les paquets DHCP avec une priorité différente de 0 par défaut? Vous avez déjà essayé de jeter un oeil aux paquets sortant de l'ERL?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 14 février 2016 à 23:14:59
oui c'est zero niveau 2 mais l'octet ToS/DSCP (niveau 3) n'est pas a zero mais a 0x000100 = low_delay en interprétation d'origine.

voila une capture du 1er packet dhcp envoyé par un ERL:

Frame 2: 390 bytes on wire (3120 bits), 390 bytes captured (3120 bits) on interface 0
Ethernet II, Src: Ubiquiti_x:xx:xx (04:18:d6:xx:xx:xx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 832
    000. .... .... .... = Priority: Best Effort (default) (0)
    ...0 .... .... .... = CFI: Canonical (0)
    .... 0011 0100 0000 = ID: 832
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes
    Differentiated Services Field: 0x10 (DSCP: Unknown, ECN: Not-ECT)
        0001 00.. = Differentiated Services Codepoint: Unknown (4)
        .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    Total Length: 372
    Identification: 0x0000 (0)
    Flags: 0x00
    Fragment offset: 0
    Time to live: 128
    Protocol: UDP (17)
    Header checksum: 0x396a [validation disabled]
    Source: 0.0.0.0
    Destination: 255.255.255.255
    [Source GeoIP: Unknown]
    [Destination GeoIP: Unknown]
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
Bootstrap Protocol (Discover)
    Message type: Boot Request (1)
    Hardware type: Ethernet (0x01)
    Hardware address length: 6
    Hops: 0
    Transaction ID: 0x14bd66d7
    Seconds elapsed: 0
    Bootp flags: 0x0000 (Unicast)
    Client IP address: 0.0.0.0
    Your (client) IP address: 0.0.0.0
    Next server IP address: 0.0.0.0
    Relay agent IP address: 0.0.0.0
    Client MAC address: Ubiquiti_xx:xx:xx (04:18:d6:xx:xx:xx)
    Client hardware address padding: 00000000000000000000
    Server host name not given
    Boot file name not given
    Magic cookie: DHCP
    Option: (53) DHCP Message Type (Discover)
    Option: (12) Host Name
    Option: (55) Parameter Request List
    Option: (90) Authentication
    Option: (60) Vendor class identifier
    Option: (61) Client identifier
    Option: (77) User Class Information
    Option: (255) End


Orange accepte cette requete sans broncher et répond par un Offer (en CS7)
L'ERL suit par un Request avec la meme prio que le Discover (0 et low delay)
Orange répond par un Ack (en CS7 aussi)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 16 février 2016 à 01:50:39
Bonsoir,

Je tiens à vous remercier pour le travail d'analyse effectué  ;)
Je viens de finir l'installation du routeur sous debian avec ipv4/ipv6 et tout fonctionne à merveille.
J'ai dû faire quelques ajustements mais dans l'ensemble tout ce qui est écrit en première page est bon.
Je m'occuperai de la TV dans les jours à venir.

Dam
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: b416 le 16 février 2016 à 19:43:48
Hello,

Ben moi je rame un peu, ça marche presque... sauf que la livebox derrière l'ERL n'arrive pas à obtenir une adresse IP, et donc elle reste un peu en carafe

la télé continue de fonctionner (les chaines + changement, VOD ne marche pas ni le guide, résumé du contenu etc.) tant que je redémarre pas le décodeur tv

En fait j'ai voulu partir sur une config DHCP IPv4 propre avant de m'attaquer à IPv6, c'est peut être pour ça? j'ai remarqué que la livebox essaie de se connecter en pppoe à nouveau...

Le reste fonctionne et les perfs sont correctes en IPv4, quasiment celles que j'ai avec la box en direct

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 16 février 2016 à 19:50:57
Bonsoir, voici les nouvelles :
 
Configuration : sans LiveBox
IPV4 : OK
IPV6 : OK
TV / VOD : OK (sans bridge)

Par contre question importante, je viens de faire une configuration SANS bridge qui fonctionne aussi bien.
Y a t'il une raison particulière pour qu'il y soit dans toutes les configurations (ubnt, debian, bsd...) postées sur le forum ?

Dam
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: b416 le 16 février 2016 à 19:56:08
Tu veux pas poster tes fichiers config ?    ;)

Je suis preneur aussi de la config sans livebox, elle me sert que pour la télé indirectement...

P.S. Dans cette config on branche le decodeur tv sur eth2 du ERL ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 16 février 2016 à 20:01:27
Je suis en train de la refaire au propre, car là un script -> qui lance un script -> qui lance un script c'est un peu brouillon  ;)

C'est une configuration sur debian nu
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 16 février 2016 à 20:02:11
Par contre question importante, je viens de faire une configuration SANS bridge qui fonctionne aussi bien.
Parce que toutes les configs qu'on trouve sur le forum se basent sur l'ancienne architecture où VOD et flux TV multicast étaient sur 2 VLANs différents ?

J'avais émis l'hypothèse (je ne sais plus sur quel fil) qu'on pourrait se passer du bridge entre 838 et 840 vu les copies d'écran de configs Livebox en mode DHCP. Tu dois sans doute être le premier à l'avoir testé.

Et franchement c'est une bonne nouvelle pour nous (posssseurs d'ERL) car ça veut dire que l'offload ne sera plus désactivé pour la TV comme c'est le cas actuellement avec le bridge nécessaire.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 16 février 2016 à 20:06:50
Parce que toutes les configs qu'on trouve sur le forum se basent sur l'ancienne architecture où VOD et flux TV multicast étaient sur 2 VLANs différents ?

J'avais émis l'hypothèse (je ne sais plus sur quel fil) qu'on pourrait se passer du bridge entre 838 et 840 vu les copies d'écran de configs Livebox en mode DHCP. Tu dois sans doute être le premier à l'avoir testé.

Et franchement c'est une bonne nouvelle pour nous (posssseurs d'ERL) car ça veut dire que l'offload ne sera plus désactivé pour la TV comme c'est le cas actuellement avec le bridge nécessaire.

Petite info, IGMP proxy ne se lance pas si l'interface eth0.840 n'a pas d'ip.
J'ai fait comme ça pour que ça fonctionne :

auto eth0.840
iface eth0.840 inet static
        address 192.168.255.254
        netmask 255.255.255.255

Je pense que même en pppoe ça doit fonctionner
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 16 février 2016 à 20:10:52
Sans doute, mais en PPPoE la VOD est sur le 838, donc pas d'autre choix que de bridger si tu veux TV et VOD.

Mais du coup, ça voudrait dire qu'en DHCP, la VOD passe également par le 832 (Internet) ? (Ce n'est pas du multicast donc ca ne peut pas fonctionner avec une IP "au hasard").
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 16 février 2016 à 20:29:46
Sans doute, mais en PPPoE la VOD est sur le 838, donc pas d'autre choix que de bridger si tu veux TV et VOD.

Mais du coup, ça voudrait dire qu'en DHCP, la VOD passe également par le 832 (Internet) ? (Ce n'est pas du multicast donc ca ne peut pas fonctionner avec une IP "au hasard").


Négatif, l'architecture pour la TV n'a pas changé. C'est toujours :
VOD : vlan 838
TV (igmp) : vlan 840
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 16 février 2016 à 20:34:56
Etrange, ca ne correspond pas à ce que la Livebox indique : https://lafibre.info/orange-les-news/actualites-ipv6-orange/msg277007/#msg277007
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 16 février 2016 à 20:39:35
Je ne trouve plus ma copie d'écran de ma livebox mais moi j'ai le vlan 832 pour internet, le vlan 838 pour la VOD & le vlan 840 pour la TV.
Bizarre que Noide est le même vlan pour la VOD et TV...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 16 février 2016 à 21:02:25
je suis en DHCP+IPv6 et j'ai ca pour la TV:

(http://i.imgur.com/SWLBaH9.png?1)

c'est donc bien comme en PPPoE : rien de changer pour la TV.
on remarquera que canal 2 est a 832... comme la data et le tel...

J'ai vérifié par une capture au cas ou l'interface de la livebox ne serait pas juste: les IGMP et les flux multicast sont bien sur le VLAN 840. Je n'ai pas fait de capture avec la VoD mais y'a bien du traffic sur le VLAN 838 (un échange DHCP puis du TLS principalement).

Maintenant c'est peut-être différent d'un endroit a l'autre. Il se peut qu'Orange supprime les VLANs par zone, une fois migré en DHCP. Le screen cité par zoc concerne une connexion VDSL aussi , c'est peut-être différent en DHCP avec cette techno.

Peut-etre aussi a terme, le but d'Orange est de ne plus avoir de VLAN ou qu'un seul.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 16 février 2016 à 21:16:41
Ok, donc ça ne change pas. Par contre l'astuce qui consiste à ne pas faire de bridge (je suppose que du coup il y a un client DHCP sur le 838 pour la VOD) est intéressante, je n'y aurais pas pensé...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 16 février 2016 à 21:22:32
Je n'ai pas bien capté cette histoire de 'pas faire de bridge' ? c'est par rapport a quoi ?

le fait de ne pas avoir a bridger 838 et 840 ensemble si on ne garde pas la livebox ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 16 février 2016 à 21:25:25
Oui Kgersen, pour une installation sans livebox

DHCP avec les options qui vont bien sur le vlan 838
IGMP proxy sur le vlan 840

Dam
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 16 février 2016 à 21:44:44
Oui Kge3rsen, pour une installation sans livebox

DHCP avec les options qui vont bien sur le vlan 838
IGMP proxy sur le vlan 840

Dam

on pourrait donc faire un lien direct ONT->LAN en ne detaggant que 840 via un switch qui supporte IGMP Snooping ?


---ONT ---switch --trunk (T 832 & T 838)-- Routeur perso (ERL, debian, etc) -- switch -- (LAN) -- Livebox TV
            |--(<-PVID 840, U 840->) ---------------------------------------------|


"switch" peut être le meme (on boucle le port U 840 sur un port sans VLAN) ou 2 switch différents.

ou je dis une connerie ? ;D
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 16 février 2016 à 21:46:31
Je te dis ça dans 5 min  ;D
Mais ç'est un peu crade quand même
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 16 février 2016 à 22:50:22
ça ne fonctionne pas  ;)  :D
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 17 février 2016 à 01:28:52
ah dommage j'y ai cru  ;D

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jeremyp3 le 17 février 2016 à 03:59:08
bonjour,

pour plus de simplicité j'aimerai mettre le script dhclient dans /etc/dhcp/dhclient.conf mais je n'y parviens pas.

j'ai une erreur de ce style:
/etc/dhcp/dhclient.conf line 60: option definitions may only appear in the outermost scope.
option authsend code
                 ^
/etc/dhcp/dhclient.conf line 61: no option named authsend in space dhcp
send authsend 00:
      ^
/etc/dhcp/dhclient.conf line 62: semicolon expected.
request
 ^
Listening on LPF/eth0.832/b8:27:eb:18:db:8f
Sending on   LPF/eth0.832/b8:27:eb:18:db:8f
Sending on   Socket/fallback
DHCPREQUEST on eth0.832 to 255.255.255.255 port 67
DHCPREQUEST on eth0.832 to 255.255.255.255 port 67
^C


mon script dhclient:
interface "eth0.832" {
send vendor-class-identifier = "sagem";
option userclass code 77 = string;
send userclass 2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:33;
option authsend code 90 = string;
send authsend 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;
request subnet-mask, time-offset, routers, host-name, interface-mtu;
}

ce n'est pas possible à cose de l'option 90 ?

merci pour la réponse,

jerem
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: b416 le 17 février 2016 à 08:32:16
sur l'ERL (avec EdgeOS) ça se fait dans le fichier /opt/vyatta/sbin/vyatta-interfaces.pl comme expliqué sur la première page, il faut ajouter ça :

$output .= "option rfc3118-auth code 90 = string;\n\n";
et ce script génère le dhclient qui va bien dans lequel tu peux ensuite faire

#
# autogenerated by vyatta-interfaces.pl on Tue Feb 16 17:38:26 CET 2016
#
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;

option rfc3118-auth code 90 = string;

interface "eth1.832" {
send host-name "ubnt";
request subnet-mask, broadcast-address, routers, domain-name-servers, domain-name, interface-mtu;
send vendor-class-identifier "sagem";
send dhcp-client-identifier 1:00:37:XX:XX:XX:XX;
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:XX:XX:XX:XX:XX:XX:XX:XX:XX;
request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, option-119, option-90, option-120;
}

il faut définir tes options avant l'interface
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: BM92 le 17 février 2016 à 09:21:34
le topique de l'ERL c'est la porte de gauche :) ici, c'est les linuxiens, les vrais ! :D. tout ça pour dire que j'ai une vrai debian.
jerem

Ou est le problème ?
Ce fichier existe bien dan l'ERL non ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jeremyp3 le 17 février 2016 à 09:31:35
Ou est le problème ?
Ce fichier existe bien dan l'ERL non ?
heuuu, pardon, j'avai mal compris ton intervention ! je pensais que tu me donnais la technique pour le faire dans l'ERL, mes excuses vraiment !! :) je test ça et reviens dire si ça à fonctionné !!
jerem

edit: merci ça fonctionne ! :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: b416 le 19 février 2016 à 01:51:51
Ben finalement j'ai mis une debian dans mon ERL... je me suis fait un peu peur, j'ai éventré la bête et j'ai acheté une clé usb...

C'est debwrt en fait, mais je pense pas que je vais utiliser la surcouche debwrt/openwrt, plutôt configurer tout tranquillement à la main...

L'install est finalement trop facile, j'ai fait un mix entre openwrt et debwrt, juste avec la clé usb, sans cable console, et ça a fini par marcher...


Bon, pour l'instant je suis connecté sur le port eth0 configuré manuellement, j'ai une jessie de base finalement, je vous tiens au courant...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 19 février 2016 à 01:53:27
Ben finalement j'ai mis une debian dans mon ERL... je me suis fait un peu peur, j'ai éventré la bête et j'ai acheté une clé usb...

C'est debwrt en fait, mais je pense pas que je vais utiliser la surcouche debwrt/openwrt, plutôt configurer tout tranquillement à la main...

L'install est finalement trop facile, j'ai fait un mix entre openwrt et debwrt, juste avec la clé usb, sans cable console, et ça a fini par marcher...


Bon, pour l'instant je suis connecté sur le port eth0 configuré manuellement, j'ai une jessie de base finalement, je vous tiens au courant...

Bon courage ;)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: b416 le 19 février 2016 à 04:07:05
Ayé  ;)

Enfin le debut, obtenu l'adresse IPv4, connecté à internet, apt update, install iperf3 -> débit très corrects, un chouïa en dessous du max (dans les 750/240), avec la config de base...

La suite demain, vais me coucher...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 19 février 2016 à 06:51:09
Etonnant que tu puisses avoir un débit aussi élevé sans l'offload (puisqu'il faut obligatoirement un kernel d'ubiquiti pour pouvoir en profiter).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: b416 le 19 février 2016 à 09:04:09
Oui, j'ai été surpris aussi, je m'attendais à moins, c'est d'ailleurs pourquoi j'ai commencé par iperf3 avant d'aller plus loin

root@debwrt:~# iperf3 -c 3.testdebit.info -R
Connecting to host 3.testdebit.info, port 5201
Reverse mode, remote host 3.testdebit.info is sending
[  4] local XX.XX.XX.XX port 53658 connected to 62.34.91.3 port 5201
[ ID] Interval           Transfer     Bandwidth
[  4]   0.00-1.00   sec  50.0 MBytes   419 Mbits/sec                 
[  4]   1.00-2.00   sec  83.8 MBytes   704 Mbits/sec                 
[  4]   2.00-3.00   sec  95.2 MBytes   799 Mbits/sec                 
[  4]   3.00-4.00   sec  95.5 MBytes   802 Mbits/sec                 
[  4]   4.00-5.00   sec  73.5 MBytes   616 Mbits/sec                 
[  4]   5.00-6.00   sec  97.6 MBytes   819 Mbits/sec                 
[  4]   6.00-7.00   sec  94.4 MBytes   790 Mbits/sec                 
[  4]   7.00-8.01   sec  96.2 MBytes   800 Mbits/sec                 
[  4]   8.01-9.00   sec  75.1 MBytes   637 Mbits/sec                 
[  4]   9.00-10.00  sec  85.5 MBytes   716 Mbits/sec                 
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval           Transfer     Bandwidth       Retr
[  4]   0.00-10.00  sec   851 MBytes   714 Mbits/sec  280             sender
[  4]   0.00-10.00  sec   847 MBytes   710 Mbits/sec                  receiver

P.S. J'ai utilisé le kernel de ddwrt compilé pour l'ERL d'ici : http://downloads.debwrt.net/firmware/snapshots/other/trunk/mips/octeon/generic/latest/
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 19 février 2016 à 12:00:57
rien d'étonnant c'est le debit 'lien wan uniquement', le flux ne traverse pas le routeur.

le test important c'est depuis un poste derriere le routeur avec le NAT.

ou essai avec:

iperf3 -B 192.168.1.1 -c 3.testdebit.info -R(ajuster 192.168.1.1 a l'IP lan de l'ERL).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 19 février 2016 à 13:10:30
rien d'étonnant c'est le debit 'lien wan uniquement', le flux ne traverse pas le routeur.
Effectivement  :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: nainkult le 19 février 2016 à 14:05:12
En fait donc c'est 100% de la config a la main comme sur un Linux de base. Je ne pense donc pas insister plus, y'a peu d’intérêt pour le moment. Je reviendrai sur une config OpenWrt pour l'ERL si ca n'abouti avec Ubiquiti (et l'offload donc) pour le fonctionnement avec Orange.

J'ai un WRT1900AC sur OpenWRT. En pratique, le routeur en DHCP fait du NAT en linerate (testé à 940Mbps et des brouettes) mais je suis encore bloqué au stade IPv4 PPPoE + Tunnel 6in4 Hurricane Electric. Cela me donne des débits pourris autours de 300-400Mbps en IPv4 et 150-200Mbps en IPv6 à cause des différents overhead un peu partout. J'aimerais donc passer en DHCP/DHCPv6 mais je n'ai pas encore eu l'occasion de péter la connexion de mon foyer pour plusieurs heures(jours?) le temps de tester et d'arriver à un truc fonctionnel. As tu réussi à quelque chose d'approchant avec ton ERL ?

Le problème c'est que les paquets envoyé par le client DHCP ne passent pas au travers d'iptables, (une histoire de raw socket)

ISC-DHCP et dhcpd sont censés ouvrir un socket udp classique dit de fallback. Dans tout les cas, même si le raw socket ne reçois pas de réponse après son DHCPDISCOVER car en mauvaise prio CoS, le socket udp de secours devrait fonctionner et se voir appliquer les modifications par iptables (et donc recevoir un DHCPOFFER).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 19 février 2016 à 14:33:02
J'ai un WRT1900AC sur OpenWRT. En pratique, le routeur en DHCP fait du NAT en linerate (testé à 940Mbps et des brouettes) mais je suis encore bloqué au stade IPv4 PPPoE + Tunnel 6in4 Hurricane Electric. Cela me donne des débits pourris autours de 300-400Mbps en IPv4 et 150-200Mbps en IPv6 à cause des différents overhead un peu partout. J'aimerais donc passer en DHCP/DHCPv6 mais je n'ai pas encore eu l'occasion de péter la connexion de mon foyer pour plusieurs heures(jours?) le temps de tester et d'arriver à un truc fonctionnel. As tu réussi à quelque chose d'approchant avec ton ERL ?

En 1er, il faut que tu sois certain que ton abo Orange ait migré en  DHCP+IPv6. Un moyen simple de vérifier est de rebrancher la livebox, forcer une maj si elle n'est pas jour et voir comment elle se connecte ( page d'info sur la connexion de la livebox http://192.168.1.1/supportSystemInformationInternet.html ).

J'ai pas de config openwrt toute prete car j'ai stoppé les tests openwrt sur l'ERL croyant qu'il fallait la QoS prio 6 pour DHCP. Mais a priori ce n'est pas la peine.

On sait ce qu'il faut faire toutefois, juste pas comment le faire avec openwrt (du moins pas encore):
- plus de pppoe, vlan data en 832 au lieu de 835
- Pour IPv4: envoyer les bonnes options en DHCP: user-class, vendor-class, authentication
- Pour IPv6: envoyer les bonnes options en DHCPv6-PD: user-class, vendor-class, authentication
- Pour la TV: inchangé (pour le moment)
- Pour le Tel: plus de vlan a part (851), ca passe par le vlan data (832).

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 19 février 2016 à 14:35:46
ISC-DHCP et dhcpd sont censés ouvrir un socket udp classique dit de fallback. Dans tout les cas, même si le raw socket ne reçois pas de réponse après son DHCPDISCOVER car en mauvaise prio CoS, le socket udp de secours devrait fonctionner et se voir appliquer les modifications par iptables (et donc recevoir un DHCPOFFER).

Le probleme c'est pas la reception mais l'envoi.

Mais a priori ce n'est pas nécessaire d'envoyé en pri 6. Chez moi ca marche ainsi que chez d'autres. Y'a que zommak qui n'y arrive pas avec sa config et est obligé de tagger en pri 6.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jeremyp3 le 19 février 2016 à 14:56:11
Le probleme c'est pas la reception mais l'envoi.

Mais a priori ce n'est pas nécessaire d'envoyé en pri 6. Chez moi ca marche ainsi que chez d'autres. Y'a que zommak qui n'y arrive pas avec sa config et est obligé de tagger en pri 6.

bonjour,

je veux bien essayer.

actuellement avant de demander au dhcp je fais comme zommak, à savoir:

#!/bin/bash
for i in 0 1 2 3 4 5 6 7; do
ONT=wan0.832
## on définit pour chaque file une priorité
    vconfig set_egress_map $ONT $i $i >/dev/null
done
## On modifie la priorité de la file 1 à 0 c'est là qu'on renverra tout nos paquets, la file 0 qui est celle par défaut passe à 6
    vconfig set_egress_map $ONT 1 0 >/dev/null
    vconfig set_egress_map $ONT 0 6 >/dev/null

l'idée serai juste de créer le vlan
vconfig add wan0 832
et de lancer le dhclient avec les bonnes options ?

jerem
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 19 février 2016 à 15:01:11
oui faut juste le vconfig par defaut (pas d'egress-map).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jeremyp3 le 19 février 2016 à 15:15:43
oui faut juste le vconfig par defaut (pas d'egress-map).

donc si je fais ça, j'ai pas de réponse au dhcp non plus ... j'ai aussi retiré les règles iptables
debian jessie
isc-dhcp-client                      4.3.3-8                           amd64

jerem

root@routeurlinux:~# vconfig add wan0 832
Added VLAN with VID == 832 to IF -:wan0:-
root@routeurlinux:~# dhclient wan0.832
Internet Systems Consortium DHCP Client 4.3.3
Copyright 2004-2015 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/wan0.832/34:64:a9:9a:68:05
Sending on   LPF/wan0.832/34:64:a9:9a:68:05
Sending on   Socket/fallback
DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 6
DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 11
DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 11
DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 17
^C
root@routeurlinux:~# dhclient wan0.832
Internet Systems Consortium DHCP Client 4.3.3
Copyright 2004-2015 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/wan0.832/34:64:a9:9a:68:05
Sending on   LPF/wan0.832/34:64:a9:9a:68:05
Sending on   Socket/fallback
DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 4
DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 7
^C
root@routeurlinux:~# ifup wan0.832
Internet Systems Consortium DHCP Client 4.3.3
Copyright 2004-2015 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/wan0.832/34:64:a9:9a:68:05
Sending on   LPF/wan0.832/34:64:a9:9a:68:05
Sending on   Socket/fallback
DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 7
DHCPREQUEST of 90.78.xxx.xxx on wan0.832 to 255.255.255.255 port 67
DHCPOFFER of 90.78.xxx.xxx from 90.78.106.1
DHCPACK of 90.78.xxx.xxx from 90.78.106.1
Reloading /etc/samba/smb.conf: smbd.
bound to 90.78.xxx.xxx -- renewal in 33366 seconds.

le ifup c'est avec les prioritée

jerem
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 19 février 2016 à 15:25:34
oui c'est coherent avec zommak  donc indiquerai un probleme logiciel plutôt que de ligne chez Orange ?

pour l'instant on n'en sait rien.

Il faudrait faire une capture du Discover et l’interpréter dans wireshark pour voir la différence avec nous (voir ce message (https://lafibre.info/remplacer-livebox/configuration-routeros-mikrotik-pour-livebox/msg308552/#msg308552)).

aussi comparer la capture des 2 Discover, celui qui marche et celui qui ne marche pas.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jeremyp3 le 19 février 2016 à 16:26:42
bonjour,

voici ce que j'obtiens après avoir fait un tshark sur l'interface

quand ça marche pas:

380 bytes captured (3040 bits) on interface 0
    Interface id: 0 (eth2)
    Encapsulation type: Ethernet (1)
    Arrival Time: Feb 19, 2016 17:16:21.677246128 CET
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1455898581.677246128 seconds
    [Time delta from previous captured frame: 14.247606792 seconds]
    [Time delta from previous displayed frame: 14.247606792 seconds]
    [Time since reference or first frame: 29.323876886 seconds]
    Frame Number: 5
    Frame Length: 380 bytes (3040 bits)
    Capture Length: 380 bytes (3040 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:vlan:ethertype:ip:udp:bootp]
Ethernet II, Src: HewlettP_xx:xx:xx (xx:xx:xx:xx:xx:xx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
    Destination: Broadcast (ff:ff:ff:ff:ff:ff)
        Address: Broadcast (ff:ff:ff:ff:ff:ff)
        .... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
        .... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
    Source: HewlettP_xx:xx:xx (xx:xx:xx:xx:xx:xx)
        Address: HewlettP_xx:xx:xx (xx:xx:xx:xx:xx:xx)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 832
    000. .... .... .... = Priority: Best Effort (default) (0)
    ...0 .... .... .... = CFI: Canonical (0)
    .... 0011 0100 0000 = ID: 832
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes
    Differentiated Services Field: 0x10 (DSCP: Unknown, ECN: Not-ECT)
        0001 00.. = Differentiated Services Codepoint: Unknown (4)
        .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    Total Length: 362
    Identification: 0x0000 (0)
    Flags: 0x00
        0... .... = Reserved bit: Not set
        .0.. .... = Don't fragment: Not set
        ..0. .... = More fragments: Not set
    Fragment offset: 0
    Time to live: 128
    Protocol: UDP (17)
    Header checksum: 0x3974 [validation disabled]
        [Good: False]
        [Bad: False]
    Source: 0.0.0.0
    Destination: 255.255.255.255
    [Source GeoIP: Unknown]
    [Destination GeoIP: Unknown]
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
    Source Port: 68
    Destination Port: 67
    Length: 342
    Checksum: 0xc3cd [validation disabled]
        [Good Checksum: False]
        [Bad Checksum: False]
    [Stream index: 0]
Bootstrap Protocol (Discover)
    Message type: Boot Request (1)
    Hardware type: Ethernet (0x01)
    Hardware address length: 6
    Hops: 0
    Transaction ID: 0xbac8252c
    Seconds elapsed: 0
    Bootp flags: 0x0000 (Unicast)
        0... .... .... .... = Broadcast flag: Unicast
        .000 0000 0000 0000 = Reserved flags: 0x0000
    Client IP address: 0.0.0.0
    Your (client) IP address: 0.0.0.0
    Next server IP address: 0.0.0.0
    Relay agent IP address: 0.0.0.0
    Client MAC address: HewlettP_xx:xx:xx (xx:xx:xx:xx:xx:xx)
    Client hardware address padding: 00000000000000000000
    Server host name not given
    Boot file name not given
    Magic cookie: DHCP
    Option: (53) DHCP Message Type (Discover)
        Length: 1
        DHCP: Discover (1)
    Option: (50) Requested IP Address
        Length: 4
        Requested IP Address: 90.78.xxx.xxx
    Option: (55) Parameter Request List
        Length: 5
        Parameter Request List Item: (1) Subnet Mask
        Parameter Request List Item: (2) Time Offset
        Parameter Request List Item: (3) Router
        Parameter Request List Item: (12) Host Name
        Parameter Request List Item: (26) Interface MTU
    Option: (90) Authentication
        Length: 22
        Protocol: configuration token (0)
        Algorithm: 0
        Replay Detection Method: Monotonically-increasing counter (0)
        RDM Replay Detection Value: 0x0000000000000000
        Authentication Information: fti/xxxxxxx
    Option: (60) Vendor class identifier
        Length: 5
        Vendor class identifier: sagem
    Option: (77) User Class Information
        Length: 44
        Instance of User Class: [0]
            User Class Length: 43
            User Class Data: 46535644534c5f6c697665626f782e496e7465726e65742e...
    Option: (255) End
        Option End: 255

celui qui fonctionne:

Frame 4: 380 bytes on wire (3040 bits), 380 bytes captured (3040 bits) on interface 0
    Interface id: 0 (eth2)
    Encapsulation type: Ethernet (1)
    Arrival Time: Feb 19, 2016 17:19:16.540928262 CET
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1455898756.540928262 seconds
    [Time delta from previous captured frame: 4.634748866 seconds]
    [Time delta from previous displayed frame: 4.634748866 seconds]
    [Time since reference or first frame: 16.080839390 seconds]
    Frame Number: 4
    Frame Length: 380 bytes (3040 bits)
    Capture Length: 380 bytes (3040 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:vlan:ethertype:ip:udp:bootp]
Ethernet II, Src: HewlettP_xx:xx:xx (xx:xx:xx:xx:xx:xx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
    Destination: Broadcast (ff:ff:ff:ff:ff:ff)
        Address: Broadcast (ff:ff:ff:ff:ff:ff)
        .... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
        .... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
    Source: HewlettP_xx:xx:xx (xx:xx:xx:xx:xx:xx)
        Address: HewlettP_xx:xx:xx (xx:xx:xx:xx:xx:xx)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 6, CFI: 0, ID: 832
    110. .... .... .... = Priority: Voice, < 10ms latency and jitter (6)
    ...0 .... .... .... = CFI: Canonical (0)
    .... 0011 0100 0000 = ID: 832
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes
    Differentiated Services Field: 0x10 (DSCP: Unknown, ECN: Not-ECT)
        0001 00.. = Differentiated Services Codepoint: Unknown (4)
        .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    Total Length: 362
    Identification: 0x0000 (0)
    Flags: 0x00
        0... .... = Reserved bit: Not set
        .0.. .... = Don't fragment: Not set
        ..0. .... = More fragments: Not set
    Fragment offset: 0
    Time to live: 128
    Protocol: UDP (17)
    Header checksum: 0x3974 [validation disabled]
        [Good: False]
        [Bad: False]
    Source: 0.0.0.0
    Destination: 255.255.255.255
    [Source GeoIP: Unknown]
    [Destination GeoIP: Unknown]
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
    Source Port: 68
    Destination Port: 67
    Length: 342
    Checksum: 0x864b [validation disabled]
        [Good Checksum: False]
        [Bad Checksum: False]
    [Stream index: 0]
Bootstrap Protocol (Discover)
    Message type: Boot Request (1)
    Hardware type: Ethernet (0x01)
    Hardware address length: 6
    Hops: 0
    Transaction ID: 0x6c0ab16c
    Seconds elapsed: 0
    Bootp flags: 0x0000 (Unicast)
        0... .... .... .... = Broadcast flag: Unicast
        .000 0000 0000 0000 = Reserved flags: 0x0000
    Client IP address: 0.0.0.0
    Your (client) IP address: 0.0.0.0
    Next server IP address: 0.0.0.0
    Relay agent IP address: 0.0.0.0
    Client MAC address: HewlettP_9a:68:04 (34:64:a9:9a:68:04)
    Client hardware address padding: 00000000000000000000
    Server host name not given
    Boot file name not given
    Magic cookie: DHCP
    Option: (53) DHCP Message Type (Discover)
        Length: 1
        DHCP: Discover (1)
    Option: (50) Requested IP Address
        Length: 4
        Requested IP Address: 90.78.xxx.xxx
    Option: (55) Parameter Request List
        Length: 5
        Parameter Request List Item: (1) Subnet Mask
        Parameter Request List Item: (2) Time Offset
        Parameter Request List Item: (3) Router
        Parameter Request List Item: (12) Host Name
        Parameter Request List Item: (26) Interface MTU
    Option: (90) Authentication
        Length: 22
        Protocol: configuration token (0)
        Algorithm: 0
        Replay Detection Method: Monotonically-increasing counter (0)
        RDM Replay Detection Value: 0x0000000000000000
        Authentication Information: fti/xxxxxxxx
    Option: (60) Vendor class identifier
        Length: 5
        Vendor class identifier: sagem
    Option: (77) User Class Information
        Length: 44
        Instance of User Class: [0]
            User Class Length: 43
            User Class Data: 46535644534c5f6c697665626f782e496e7465726e65742e...
    Option: (255) End
        Option End: 255
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 19 février 2016 à 16:56:04
Il faudrait effectivement le refaire sur l'interface pour qu'on puisse voir la CoS.

Parce que sinon, de ce que j'ai pu voir les 2 captures sont identiques...



Après, pour expliquer les différences de comportement, il y a la possibilité de matériels différents chez Orange (OLT, switches, routeurs) et/ou configurations différentes selon la position géographique... Donc peut-être qu'à certains endroits la CoS est nécessaire et pas à d'autres.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 19 février 2016 à 17:28:35
La CoS (vlan832) est obligatoire (sur Pau au moins), sinon pas d'ipv4 non plus
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jeremyp3 le 19 février 2016 à 17:45:33
Il faudrait effectivement le refaire sur l'interface pour qu'on puisse voir la CoS.
c'est édité

Après, pour expliquer les différences de comportement, il y a la possibilité de matériels différents chez Orange (OLT, switches, routeurs) et/ou configurations différentes selon la position géographique... Donc peut-être qu'à certains endroits la CoS est nécessaire et pas à d'autres.
bizarre tout de même vu que c'est tout neuf ...

La CoS (vlan832) est obligatoire (sur Pau au moins), sinon pas d'ipv4 non plus
c'est mon constat également.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 19 février 2016 à 20:02:48
Je suis très perplexe sur cette différence de fonctionnement d'une région/zone a l'autre...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 19 février 2016 à 20:09:46
Je suis très perplexe sur cette différence de fonctionnement d'une région/zone a l'autre...
Moi aussi...

Ceci dit, maintenant qu'on peut compiler pour l'ERL, au pire je patche le code source de dhclient pour configurer SO_PRIORITY. De même pour dibbler ça doit pas être la mort à faire.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 19 février 2016 à 20:46:02
oui restera ARP eventuellement...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: b416 le 19 février 2016 à 22:49:20
moi je suis bloqué avec ma debwrt à la con, iptables refuse obstinément de marcher et donc pas de routage, rien...  apparemment il manque certains modules du kernel, mais on ne sait pas lesquels, j'ai bien essayé de tous les charger, mais iptables me jette toujours...

vais tenter openwrt... et si je bloque je branche la livebox en direct en attendant une solution satisfaisante...  8)

 
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 19 février 2016 à 22:51:24
bon par acquis de conscience, j'ai branché un PC sous Ubuntu 14.04 directement dans l'ONT (juste un cable, pas de switch) et  ajouter les lignes de config suivantes dans /etc/dhcp/dhclient.conf

option rfc3118-authentication code 90 = string;
interface "eth0.832" {
send vendor-class-identifier "sagem";
send dhcp-client-identifier 1:00:37:b7:xx:xx:xx;
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:xx:xx:xx:xx:xx:xx:xx:xx;
request subnet-mask, routers, domain-name-servers,
domain-name, broadcast-address, dhcp-lease-time,
dhcp-renewal-time, dhcp-rebinding-time,
rfc3118-authentication;
}

puis :
$ sudo dhclient -d eth0.832
Internet Systems Consortium DHCP Client 4.2.4
Copyright 2004-2012 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/eth0.832/00:26:2d:xx:xx:xx
Sending on   LPF/eth0.832/00:26:2d:xx:xx:xx
Sending on   Socket/fallback
DHCPDISCOVER on eth0.832 to 255.255.255.255 port 67 interval 3 (xid=0x36e7f001)
DHCPREQUEST of 86.xx.xx.xx on eth0.832 to 255.255.255.255 port 67 (xid=0x1f0e736)
DHCPOFFER of 86.xx.xx.xx from 86.245.184.1
DHCPACK of 86.xx.xx.xx from 86.245.184.1
bound to 86.xx.xx.xx-- renewal in 35078 seconds.

ca se connecte donc de suite et j'obtient bien l'IP public.
nb: le serveur DHCP chez Orange est donc en 86.245.184.1

j'ai fait des release (sudo dhclient -r -d eth0.832) et recommencer. ca marche toujours.

voici la capture du Discover:


Ethernet II, Src: WistronC_xx:xx:xx (00:xxxxxxxxxxxx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
    Destination: Broadcast (ff:ff:ff:ff:ff:ff)
        Address: Broadcast (ff:ff:ff:ff:ff:ff)
        .... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
        .... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
    Source: WistronC_xx:xx:xx (00:xxxxxxxxxxxx)
        Address: WistronC_xx:xx:xx (00:xxxxxxxxxxxx)
        .... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 832
    000. .... .... .... = Priority: Best Effort (default) (0)
    ...0 .... .... .... = CFI: Canonical (0)
    .... 0011 0100 0000 = ID: 832
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes
    Differentiated Services Field: 0x10 (DSCP: Unknown, ECN: Not-ECT)
        0001 00.. = Differentiated Services Codepoint: Unknown (4)
        .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    Total Length: 377
    Identification: 0x0000 (0)
    Flags: 0x00
        0... .... = Reserved bit: Not set
        .0.. .... = Don't fragment: Not set
        ..0. .... = More fragments: Not set
    Fragment offset: 0
    Time to live: 128
    Protocol: UDP (17)
    Header checksum: 0x3965 [validation disabled]
        [Good: False]
        [Bad: False]
    Source: 0.0.0.0
    Destination: 255.255.255.255
    [Source GeoIP: Unknown]
    [Destination GeoIP: Unknown]
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
    Source Port: 68
    Destination Port: 67
    Length: 357
    Checksum: 0x1566 [validation disabled]
        [Good Checksum: False]
        [Bad Checksum: False]
    [Stream index: 1]
Bootstrap Protocol (Discover)
    Message type: Boot Request (1)
    Hardware type: Ethernet (0x01)
    Hardware address length: 6
    Hops: 0
    Transaction ID: 0x5dcb5665
    Seconds elapsed: 0
    Bootp flags: 0x0000 (Unicast)
        0... .... .... .... = Broadcast flag: Unicast
        .000 0000 0000 0000 = Reserved flags: 0x0000
    Client IP address: 0.0.0.0
    Your (client) IP address: 0.0.0.0
    Next server IP address: 0.0.0.0
    Relay agent IP address: 0.0.0.0
    Client MAC address: WistronC_xx:xx:xx (00:26:2d:xx:xx:xx)
    Client hardware address padding: 00000000000000000000
    Server host name not given
    Boot file name not given
    Magic cookie: DHCP
    Option: (53) DHCP Message Type (Discover)
        Length: 1
        DHCP: Discover (1)
    Option: (12) Host Name
        Length: 6
        Host Name: UserPC
    Option: (55) Parameter Request List
        Length: 9
        Parameter Request List Item: (1) Subnet Mask
        Parameter Request List Item: (3) Router
        Parameter Request List Item: (6) Domain Name Server
        Parameter Request List Item: (15) Domain Name
        Parameter Request List Item: (28) Broadcast Address
        Parameter Request List Item: (51) IP Address Lease Time
        Parameter Request List Item: (58) Renewal Time Value
        Parameter Request List Item: (59) Rebinding Time Value
        Parameter Request List Item: (90) Authentication
    Option: (90) Authentication
        Length: 22
        Protocol: configuration token (0)
        Algorithm: 0
        Replay Detection Method: Monotonically-increasing counter (0)
        RDM Replay Detection Value: 0x0000000000000000
        Authentication Information: fti/xxxxxxx
    Option: (60) Vendor class identifier
        Length: 5
        Vendor class identifier: sagem
    Option: (61) Client identifier
        Length: 7
        Hardware type: Ethernet (0x01)
        Client MAC address: Sagemcom_xx:xx:xx (00:37:b7:xx:xx:xx)
    Option: (77) User Class Information
        Length: 44
        Instance of User Class: [0]
            User Class Length: 43
            User Class Data: 46535644534c5f6c697665626f782e496e7465726e65742e...
    Option: (255) End
        Option End: 255

le CoS est bien a 0 , le DSCP a 0x10
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jeremyp3 le 19 février 2016 à 23:19:48
le mystère reste entié...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zommak le 20 février 2016 à 11:48:46
@Kgersen attention tu n'as pas correctement anonymisé l'adresse mac dans client identifier ( La deuxième moitié qui apparait après sagemcom)

Je n'ai pas eu le temps de repasser plus tôt mais voilà ce que donne  le DISCOVER chez moi
d'après les adresses mac le matériel qui me répond semble être du alcatel, le serveur DHCP est en  86.252.96.1

Frame 1: 395 bytes on wire (3160 bits), 395 bytes captured (3160 bits) on interface 0
    Interface id: 0 (eth0)
    Encapsulation type: Ethernet (1)
    Arrival Time: Feb 20, 2016 11:42:10.362369943 CET
    [Time shift for this packet: 0.000000000 seconds]
    Epoch Time: 1455964930.362369943 seconds
    [Time delta from previous captured frame: 0.000000000 seconds]
    [Time delta from previous displayed frame: 0.000000000 seconds]
    [Time since reference or first frame: 0.000000000 seconds]
    Frame Number: 1
    Frame Length: 395 bytes (3160 bits)
    Capture Length: 395 bytes (3160 bits)
    [Frame is marked: False]
    [Frame is ignored: False]
    [Protocols in frame: eth:ethertype:vlan:ethertype:ip:udp:bootp]
Ethernet II, Src: 76:5b:**:**:**:** (76:5b:**:**:**:**), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
    Destination: Broadcast (ff:ff:ff:ff:ff:ff)
        Address: Broadcast (ff:ff:ff:ff:ff:ff)
        .... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
        .... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
    Source: 76:5b:**:**:**:** (76:5b:**:**:**:**)
        Address: 76:5b:**:**:**:** (76:5b:**:**:**:**)
        .... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
        .... ...0 .... .... .... .... = IG bit: Individual address (unicast)
    Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 832
    000. .... .... .... = Priority: Best Effort (default) (0)
    ...0 .... .... .... = CFI: Canonical (0)
    .... 0011 0100 0000 = ID: 832
    Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
    0100 .... = Version: 4
    .... 0101 = Header Length: 20 bytes
    Differentiated Services Field: 0x10 (DSCP: Unknown, ECN: Not-ECT)
        0001 00.. = Differentiated Services Codepoint: Unknown (4)
        .... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
    Total Length: 377
    Identification: 0x0000 (0)
    Flags: 0x00
        0... .... = Reserved bit: Not set
        .0.. .... = Don't fragment: Not set
        ..0. .... = More fragments: Not set
    Fragment offset: 0
    Time to live: 128
    Protocol: UDP (17)
    Header checksum: 0x3965 [validation disabled]
        [Good: False]
        [Bad: False]
    Source: 0.0.0.0
    Destination: 255.255.255.255
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
    Source Port: 68
    Destination Port: 67
    Length: 357
    Checksum: 0x3252 [validation disabled]
        [Good Checksum: False]
        [Bad Checksum: False]
    [Stream index: 0]
Bootstrap Protocol (Discover)
    Message type: Boot Request (1)
    Hardware type: Ethernet (0x01)
    Hardware address length: 6
    Hops: 0
    Transaction ID: 0x2dab6d6a
    Seconds elapsed: 0
    Bootp flags: 0x0000 (Unicast)
        0... .... .... .... = Broadcast flag: Unicast
        .000 0000 0000 0000 = Reserved flags: 0x0000
    Client IP address: 0.0.0.0
    Your (client) IP address: 0.0.0.0
    Next server IP address: 0.0.0.0
    Relay agent IP address: 0.0.0.0
    Client MAC address: 76:5b:**:**:**:** (76:5b:**:**:**:**)
    Client hardware address padding: 00000000000000000000
    Server host name not given
    Boot file name not given
    Magic cookie: DHCP
    Option: (53) DHCP Message Type (Discover)
        Length: 1
        DHCP: Discover (1)
    Option: (12) Host Name
        Length: 6
        Host Name: UserPC
    Option: (55) Parameter Request List
        Length: 9
        Parameter Request List Item: (1) Subnet Mask
        Parameter Request List Item: (3) Router
        Parameter Request List Item: (6) Domain Name Server
        Parameter Request List Item: (15) Domain Name
        Parameter Request List Item: (28) Broadcast Address
        Parameter Request List Item: (51) IP Address Lease Time
        Parameter Request List Item: (58) Renewal Time Value
        Parameter Request List Item: (59) Rebinding Time Value
        Parameter Request List Item: (90) Authentication
    Option: (90) Authentication
        Length: 22
        Protocol: configuration token (0)
        Algorithm: 0
        Replay Detection Method: Monotonically-increasing counter (0)
        RDM Replay Detection Value: 0x0000000000000000
        Authentication Information: fti/*******
    Option: (60) Vendor class identifier
        Length: 5
        Vendor class identifier: sagem
    Option: (61) Client identifier
        Length: 7
        Hardware type: Ethernet (0x01)
        Client MAC address: AnovFran_**:**:** (b8:26:6c:**:**:**)
    Option: (77) User Class Information
        Length: 44
        Instance of User Class: [0]
            User Class Length: 43
            User Class Data: 46535644534c5f6c697665626f782e496e7465726e65742e...
    Option: (255) End
        Option End: 255
A noter que d'habitude je ne précise même pas le dhcp client identifier(option 61) ni l'hostname (option 12) et je ne précise pas non plus Parameter Request List (option 55)  mais cela ne change rien pour moi (ça marche en prio 6 mais pas en prio 0). Faire les tests m'aura au moins permis de voir  que l'option user-class remarche sur mon dhclient.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 20 février 2016 à 15:15:35
t'as essayé autre chose que 6 pour voir si ca fonctionne. Non pas que ca aidera a résoudre le probleme mais au moins on saura s'il faut exactement 6 ou tout sauf 0 par exemple.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 20 février 2016 à 16:53:20
Petite question existentielle (ou pas...).
Pour ceux qui ont intégré la partie tv, avez vous les décodeurs TV à l'heure ?
Chez moi la tv fonctionne mais les décodeurs ne sont pas à l'heure...
J'ai essayé de rajouter l'option NTP dans le serveur DHCP mais toujours pareil...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jeremyp3 le 20 février 2016 à 19:07:44
Petite question existentielle (ou pas...).
Pour ceux qui ont intégré la partie tv, avez vous les décodeurs TV à l'heure ?
Chez moi la tv fonctionne mais les décodeurs ne sont pas à l'heure...
J'ai essayé de rajouter l'option NTP dans le serveur DHCP mais toujours pareil...
je pense qu'il faut un serveur ntp sur ton réseau ... du moin sur la passerelle
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 20 février 2016 à 19:30:53
je pense qu'il faut un serveur ntp sur ton réseau ... du moin sur la passerelle

J'ai effectivement un serveur NTP sur mon routeur, mais ça ne fonctionne pas
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 21 février 2016 à 14:48:36
La livebox ne fait pas serveur NTP  (sous Windows: "w32tm /stripchart /computer:192.168.1.1" donne rien) ou alors sur un port non standard.

peut-etre la  config DHCP du décodeur ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: nainkult le 21 février 2016 à 16:22:24
La livebox ne fait pas serveur NTP  (sous Windows: "w32tm /stripchart /computer:192.168.1.1" donne rien) ou alors sur un port non standard.

peut-etre la  config DHCP du décodeur ?

Ou un truc du style une adresse IP privée hardcodée dans le fimrware. Venant d'Orange ça ne m'étonnerais même pas.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: b_abadie le 27 février 2016 à 12:10:44
Donc peut-être qu'à certains endroits la CoS est nécessaire et pas à d'autres.

Je confirme : jeudi impossible d'avoir une réponse à ma requète DHCP, mais PPP et IPTV OK. J'ai viré les COS (donc tout à zéro sur le VLAN 832) et ça repart.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jeremyp3 le 27 février 2016 à 12:37:45
Je confirme : jeudi impossible d'avoir une réponse à ma requète DHCP, mais PPP et IPTV OK. J'ai viré les COS (donc tout à zéro sur le VLAN 832) et ça repart.
hmmm, tu avais plus de réponse avec la COS a 6 alors que ça marchait au paravent? si c'est ça, c'est un cas inédit  ici c'est le contraire, avec la cos a 0 impossible de recevoir une réponse
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Je@nb le 27 février 2016 à 12:44:24
Perso voilà la gueule de mon vlan 832 :
eth1.832  VID: 832       REORDER_HDR: 1  dev->priv_flags: 1
         total frames received        71471
          total bytes received      9972411
      Broadcast/Multicast Rcvd            0

      total frames transmitted        82558
       total bytes transmitted     10282592
Device: eth1
INGRESS priority mappings: 0:0  1:0  2:0  3:0  4:0  5:0  6:0 7:0
 EGRESS priority mappings: 0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7
et mon dhcpclient.conf

#
# autogenerated by vyatta-interfaces.pl on Fri Feb 26 20:27:59 CET 2016
#
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;

option rfc3118-authentication code 90 = string;

interface "eth1.832" {
        send host-name "ubnt";
        request subnet-mask, broadcast-address, routers, domain-name-servers, domain-name, interface-mtu;
        send vendor-class-identifier = "sagem";
        send dhcp-client-identifier 1:voussavezquoi;
        send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
        send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:voussavezquoi;
        request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication;
}
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: tivoli le 28 février 2016 à 16:22:52
Je ne vois pas de serveur DHCP6 dans l'erl, on doit utiliser le DHCP standard ?
Mon but est de fixer les IP
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 28 février 2016 à 16:26:02
Si il y en a un, uniquement accessible par CLI :

configure
edit service dhcpv6-server
Pour la suite il va falloir fouiller dans les options disponibles...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: tivoli le 28 février 2016 à 18:57:17
Merci c'est ce qu'il me manquait
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: B3nJ1 le 29 février 2016 à 11:40:55
Hello,

Pour la configuration de l'IPv6, à quoi (qui?) correspond l'IP " fe80::ba0:bab"?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 29 février 2016 à 11:50:49
C'est l'adresse link local du "nexthop", c'est à dire du routeur orange auquel il faut envoyer les paquets IPv6 (la route par défaut quoi...).

Problème, je suis loin d'être certain que cette adresse soit la même pour tout le monde (et qu'elle ne change pas, par exemple si Orange remplace des équipements).

Apparemment la route par défaut ne serait pas transmise en réponse à la requête de demande de préfix, ce que je trouve étonnant (ou alors elle devrait s'autoconfigurer grâce à une annonce RA). C'est un point que je compte investiguer dés que je serai passé en DHCP... (mi mars au plus tôt).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: petrus le 29 février 2016 à 11:55:27
Hello,

Pour la configuration de l'IPv6, à quoi (qui?) correspond l'IP " fe80::ba0:bab"?

C'est l'adresse link local du "nexthop", c'est à dire du routeur orange auquel il faut envoyer les paquets IPv6 (la route par défaut quoi...).

Problème, je suis loin d'être certain que cette adresse soit la même pour tout le monde (et qu'elle ne change pas, par exemple si Orange remplace des équipements).

C'est l'équivalent de 193.253.160.3 en ppp, c'est une adresse présente sur tous les routeurs, et qui est bien le next-hop ipv6 des clients. Cette ip n'est pas vouée à changer, elle a été choisie pour être reconnaissable et mémorisable.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 29 février 2016 à 12:22:51
Merci petrus pour l'info  8)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: MikeTheFreeman le 29 février 2016 à 12:23:05
On la reconnait comme un baobab au milieu de la savane ;D
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: B3nJ1 le 29 février 2016 à 13:01:21
C'est l'équivalent de 193.253.160.3 en ppp, c'est une adresse présente sur tous les routeurs, et qui est bien le next-hop ipv6 des clients. Cette ip n'est pas vouée à changer, elle a été choisie pour être reconnaissable et mémorisable.
Cool je peux la mettre en dur dans mon script sans état d'âme :)

Merci!
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Je@nb le 29 février 2016 à 14:09:09
yes, cool !

J'ai un peu adapté le script radvd.sh pour éviter des reconstructions d'interface quand le prefixe est renouvellé et qu'il a pas changé.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 29 février 2016 à 14:24:33
Le "baobab" envoi des RA (y'a juste pas de prefix dans l'annonce, que le MTU et sa vraie link-local).
Il ne faut pas le mettre en dur dans la config.

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: B3nJ1 le 29 février 2016 à 15:04:40
Je ne comprends pas, ça veut dire qu'il ne faut pas configurer baobab comme next-hop par défaut?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 29 février 2016 à 15:08:09
Je ne comprends pas, ça veut dire qu'il ne faut pas configurer baobab comme nethop par défaut?

oui ca se fait automatiquement.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: B3nJ1 le 29 février 2016 à 15:12:31
Mhhh sur mon ERL ça ne le faisait pas, y a une conf à setter peut-être?

Les scripts en première page sont faux alors...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 29 février 2016 à 15:24:30
Mhhh sur mon ERL ça ne le faisait pas, y a une conf à setter peut-être?

Les scripts en première page sont faux alors...

pas faux mais trop spécifiques/spécialisés on va dire.

Le ou les gateway par défaut sont indépendantes de la config DHCPv6-PD et du radvd.

Une fois branché a l'ONT, l'ERL doit s'établir de lui meme une route IPv6 par défaut vers baobab.

Qu'on configure ou pas le prefix IPv6 et les IPv6 publiques c'est en plus et c'est indépendant.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Hakujou le 05 mars 2016 à 22:39:11
Etant donné qu'on a pas (trop) de progression sur le portage de la nouvelle config sur DD-WRT/Tomato, est-ce que quelqu'un a réussi sur OpenWRT ? Et si oui, me faire un how-to si c'est pas trop demander, en partant de 0 (paquets à installer, config à mettre, etc).

Et si c'est pas possible sur OpenWRT non plus, j'envisagerai l'achat d'un ERL (et j'utiliserai mon R7000 en AP), donc est-ce quelqu'un pourra me résumer la même chose (trucs à installer, config à mettre sur l'ERL, etc).

Déso, je suis vraiment un néophyte côté réseau avancé (VLANs, fonctionnement IPv6, etc)... Je précise que seul le côté internet m'intéresse (et surtout la possibilité d'avoir une IPv4 fixe et de l'IPv6), je ne me sers ni du tel ni de la TV Orange.

Merci ! :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: bugmenot le 07 mars 2016 à 13:17:07
Bonjour,

Nouvel abonné à la Fibre Orange dans un immeuble tout juste fibré, mon accès est en DHCP. J'ai bien les 100/50 Mbps contractuels avec la Livebox.

J'ai suivi les informations de ce topic pour remplacer la LB par mon routeur sous OpenWRT (précédemment derrière une Freebox ADSL).

Dans /etc/config/network :
config interface 'wan'
        option proto 'dhcp'
        option vendorid 'sagem'
        option sendopts '90:00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:39:xx:xx:xx:xx:xx:xx  77:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:33'
        option ifname 'eth1.832'

J'avais déjà une règle dans le firewall : IPv4-UDP, From any host in wan, To any router IP at port 68 on this device, Accept input. Pas sûr que ce soit nécessaire.

Et c'est tout de mémoire. On relance avec /etc/init.d/network reload et ça marche.
Je n'ai précisé aucune priorité, j'ai les mêmes débits qu'avec la Livebox.


Côté IPv6, je n'ai pas de réponse du serveur DHCP. Je bloque car je ne connais pas exactement le message DHCPv6 à envoyer. Est-ce que quelqu'un pourrait coller ici une capture d'un DHCP6 Solicit ? Je me demande notamment s'il faut préciser DUID ou Client Identifier à une valeur particulière ? Pour l'option FQDN, on peut envoyer n'importe quoi ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 07 mars 2016 à 14:02:37
Pour DHCP6-PD les options sont grosso modo les mêmes que pour DHCP (vendor id, etc...). Il faut demander un préfixe uniquement (ia-pd) et pas d'adresse (pas d'ia-na donc).

Voir la configuration dibbler-client de @zommak en première page de ce fil. Il n'a pas configuré le DUID, mais par défaut, dibbler en calcule un à partir de l'adresse mac et de la date/heure. Il ne serait donc pas nécessaire d'avoir un DUID particulier pour que ça marche.


Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: b_abadie le 09 mars 2016 à 13:44:40
hmmm, tu avais plus de réponse avec la COS a 6 alors que ça marchait au paravent?

Tout à fait. C'est d'ailleurs les derniers messages de ce thread qui m'ont mis sur la piste pour rétablir le service.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: zoc le 09 mars 2016 à 17:21:28
- La priorité est-elle nécessaire ?
- PPPoE est-il coupé définitivement ?

1) Oui.
2) Non.

Je "ressors" 2 vieux messages de ce fil, @petrus répondant aux questions de @martintamare, car manifestement la réponse à la question "1" semble contredite par l'expérience de plusieurs personnes.

@petrus peut-il nous en dire plus ?  :P
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: bugmenot le 09 mars 2016 à 17:35:58
Pour DHCP6-PD les options sont grosso modo les mêmes que pour DHCP (vendor id, etc...). Il faut demander un préfixe uniquement (ia-pd) et pas d'adresse (pas d'ia-na donc).

Voir la configuration dibbler-client de @zommak en première page de ce fil. Il n'a pas configuré le DUID, mais par défaut, dibbler en calcule un à partir de l'adresse mac et de la date/heure. Il ne serait donc pas nécessaire d'avoir un DUID particulier pour que ça marche.

OK merci.
Ca s'annonce donc plus compliqué pour l'IPv6 sous OpenWRT car le client DHCPv6 par défaut (odhcp6c) ne gère pas l'option 11 pour l'authent (entre autres choses). Dibbler ne semble plus faire partie des paquets d'OpenWRT (même pas en source), faut que je ressorte la chaine de compilation croisée en espérant que ça compile sans modification.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (sans pppoe)
Posté par: petrus le 09 mars 2016 à 18:37:07
Je "ressors" 2 vieux messages de ce fil, @petrus répondant aux questions de @martintamare, car manifestement la réponse à la question "1" semble contredite par l'expérience de plusieurs personnes.

@petrus peut-il nous en dire plus ?  :P

Je n'ai malheureusement pas de ligne dhcp chez moi pour tester, mais il est possible que ça dépende du dslam ou de l'olt sur lequel on est raccordé.

La livebox de base fait de la QoS, après il est possible que ça fonctionne même sans ça. YMMV, l'idéal étant donc de capturer entre ont et lb en ftth, en vdsl c'est plus compliqué.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zommak le 09 mars 2016 à 20:13:01
OK merci.
Ca s'annonce donc plus compliqué pour l'IPv6 sous OpenWRT car le client DHCPv6 par défaut (odhcp6c) ne gère pas l'option 11 pour l'authent (entre autres choses). Dibbler ne semble plus faire partie des paquets d'OpenWRT (même pas en source), faut que je ressorte la chaine de compilation croisée en espérant que ça compile sans modification.

Tu ne peux pas definir d'option manuellement avec odhcp6c?

Je "ressors" 2 vieux messages de ce fil, @petrus répondant aux questions de @martintamare, car manifestement la réponse à la question "1" semble contredite par l'expérience de plusieurs personnes.

@petrus peut-il nous en dire plus ?  :P

Tout à fait. C'est d'ailleurs les derniers messages de ce thread qui m'ont mis sur la piste pour rétablir le service.

Autant je peux comprendre que la priorité ne soit pas nécessaire pour avoir une réponse DHCP autant je ne comprend pas pourquoi l'ajout de la priorité enlèverai la possibilité d'avoir une réponse. D'autant que ça impliquerai d'avoir différent comportement de livebox en fonction de la zone. Du coups comment les livebox font pour savoir si elles mettent ou pas la priorité? ça donne l'impression qu'au lieu d'être uniforme chaque zone a ses propres règles.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jeremyp3 le 09 mars 2016 à 22:09:22
Autant je peux comprendre que la priorité ne soit pas nécessaire pour avoir une réponse DHCP autant je ne comprend pas pourquoi l'ajout de la priorité enlèverai la possibilité d'avoir une réponse. D'autant que ça impliquerai d'avoir différent comportement de livebox en fonction de la zone. Du coups comment les livebox font pour savoir si elles mettent ou pas la priorité? ça donne l'impression qu'au lieu d'être uniforme chaque zone a ses propres règles.

je pense qu'il faut comprendre que la priorité est configuré à 6 partout, mais fonctionne aussi à 0 dans certains cas
jerem
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: bugmenot le 09 mars 2016 à 23:40:26
Tu ne peux pas definir d'option manuellement avec odhcp6c?

Nope, ça ne fait pas partie des options disponibles, vérifié dans le code source.


J'ai compilé et configuré dibbler 1.0.1 en repartant de la conf de la première page. Pour info, la conf est correctement lue : mettre 2 fois l'option 11 provoque l'envoi de l'option en double dans la requête.
Quand je lance dibbler, le serveur ba0bab répond bien un message Advertise qui me semble correct mais pas de réponse au message Request. Vu qu'il m'envoie l'Advertise avec DSC=CS6, je vais essayer de forcer ce paramètre pour les messages DHCPv6 envoyés.

Il faut les 2 options 11. J'ai bien le dialogue Solicit > Advertise > Request > Reply > RA.

Je regrette que le préfixe IPv6 ne soit pas fixe, à chaque changement, il faut mettre à jour le DDNS, les règles de FW et les adresses de chacune des machines du LAN. On peut oublier l'auto-hébergement sur ipv6 dans ce cas.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 09 mars 2016 à 23:47:53
t'as trouvé pourquoi il faut mettre 2 fois l'option 11 avec Dibbler ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: bugmenot le 09 mars 2016 à 23:53:08
t'as trouvé pourquoi il faut mettre 2 fois l'option 11 avec Dibbler ?
Oui, comme indiqué dans le premier post, c'est pour la deuxième requête (Request) que c'est nécessaire. A l'occasion, faudra soumettre un rapport de bug.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 10 mars 2016 à 07:41:23
Je pense que le préfixe change parce que par défaut dibbler calcule le dduid avec la méthode dduid-llt, qui dépend de l'horodatage.

Il faudrait essayer en mode dduid-ll, histoire d'avoir un identifiant qui ne change jamais.


Sinon pour l'option 11 en double, j'imagine que c'est un conflit avec l'implementation de l'authentification dans dibbler: l'option 11 est supportée nativement, y compris l'anti rejeu et plusieurs méthodes d'authentification sont supportées, mais malheureusement pas celle utilisée par Orange
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: bugmenot le 10 mars 2016 à 10:20:44
Je pense que le préfixe change parce que par défaut dibbler calcule le dduid avec la méthode dduid-llt, qui dépend de l'horodatage.

Il faudrait essayer en mode dduid-ll, histoire d'avoir un identifiant qui ne change jamais.
C'est ce que j'ai lu aussi à droite à gauche mais malheureusement, j'ai regardé les 2 requêtes dans Wireshark, le DUID était bien le même : l'horodatage restait celui de la première tentative.
Je me demande si ce n'est pas le Release envoyé par dibbler quand je l'arrête qui provoque le changement. Ce sera à tester quand j'aurai réussi à intégrer l'IPv6 côté WAN et LAN du routeur.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: 80n le 14 mars 2016 à 00:22:41
Bonne nouvelle ! J'ai une IPv4 allouée à mon ER-X via DHCP, en adaptant légèrement les configs proposées dans ce topic.

Effectivement, les étapes ont été les suivantes pour moi (eth4 est le port sur lequel j'ai branché mon ONT, je laisse le soin à chacun d'adapter selon son contexte) :
1. Mettre à jour le FW en version 1.8 + REBOOT

2. Patcher le fichier /opt/vyatta/sbin/vyatta-interfaces.pl comme indiqué au 1er post (consigne identique à l'ERL), c'est à dire chercher la ligne suivante :
$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";et ajouter juste derrière cette ligne :
$output .= "option rfc3118-auth code 90 = string;\n\n";+ REBOOT
3. Aller calculer la valeur de l'option DHCP rfc3118-auth qui correpond à mon identifiant de connection orange (sans fti/) avec le calculateur javascript fourni dans les premiers posts (lien içi pour rappel : https://jsfiddle.net/kgersen/45zudr15/embedded/result/)

4. Executer le wizard WAN-2LAN2 dans l'interface web de l'ER-X, en définissant eth4 comme port WAN (mon ONT est branché dessus, j'ai conservé eth0 pour mon PC principal).

5. Créer une interface VLAN eth4.832 (vlan 832 sur le port eth4), en activant DHCP dessus, via le dashboard.

6. Retourner modifier la règle NAT "masquerade for WAN" crée par le wizard précédemment et l'appliquer sur l'interface eth4.832 au lieu de eth4.

7. Customiser les options clientes DHCP, non pas sur l'interface hardware comme indiqué au post 1 (eth4 dans mon exemple), mais sur l'interface vlan associée (eth4.832 dans mon exemple, qui est l'interface vlan définie à l'étape 5).
Cette dernière étape peut être faite de 2 façons différentes : soit en ligne de commande, soit par l'interface web via la config tree :)

Voici les commandes que j'ai exécuté (l'option rfc3118 a été maquillée ;) :
set interfaces ethernet eth4 vif 832 dhcp-options client-option "send vendor-class-identifier &quot;sagem&quot;;"
set interfaces ethernet eth4 vif 832 dhcp-options client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox3&quot;;"
set interfaces ethernet eth4 vif 832 dhcp-options client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;"
set interfaces ethernet eth4 vif 832 dhcp-options client-option "request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3118-auth;"
Et voici le bloc de config de l'interface eth4 dans mon cas, après configuration :
  ethernet eth4 {
        description Internet
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description ont
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox3&quot;;"
                client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;"
                client-option "request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3118-auth;"
                default-route update
                default-route-distance 210
                name-server update
            }
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
        }
    }
+ un dernier REBOOT pour la ROOT (trop facile celle-là ;)).

J'ai retiré l'option egress-qos proposée au post 1 car cette directive provoquait une chute de débit à 5mbps en upload lors des tests iperf3, au lieu de 70mbps en upload habituellement.
Aussitôt l'option retirée, aussitôt le débit est revenu à la normale. D'ailleurs je n'ai pas eu besoin, pour le moment, des règles iptables proposées dans le 1er post, néanmoins à ce stade je n'ai pas encore fait fonctionner la TV ou le téléphone, mais je compte bien conserver ces fonctionnalités en branchant la livebox derrière l'ER-X.
Ma livebox sera alors un client DHCP de l'ER-X. C'est sûrement à ce stade que la classification/priorisation correcte des paquets pourra avoir un intérêt, mais je laisse ce suspense pour plus tard.

En PJ j'ai joint mon fichier /config/config.boot complet (sans les identifiants ou mots de passe), pour servir de base de travail aux futurs contributeurs/utilisateurs.

Un grand merci aux différents contributeurs (actuels et futurs) pour votre aide !
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Hakujou le 14 mars 2016 à 07:45:05
Cool, merci pour le  guide détaillé ! Je vais peut-être me laisser tenter par un ERL du coup, vu que sur Tomato, pas moyen de faire fonctionner la nouvelle archi...

Petite question, tu comptes te pencher sur l'IPv6 ou pas du tout ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: gegere le 15 mars 2016 à 13:16:44
Bon je n'arrive toujours pas à récupérer une IP sur eth1.832 (j'ai bien un IP sur le br0 et la tv fonctionne, par contre pas de net) sur mon ERL 3 ports.

J'ai bien patché le fichier /opt/vyatta/sbin/vyatta-interfaces.pl pour l'option 90, mais ça ne veut pas.

Voici ma conf, si quelqu'un a une idée :

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from Internet to LAN"
        enable-default-log
        rule 1 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "packets from Internet to the router"
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    options {
        mss-clamp {
            interface-type pppoe
            interface-type pptp
            interface-type tun
            mss 1452
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        address dhcp
        aging 300
        bridged-conntrack disable
description "TV - VOD"
        dhcp-options {
            client-option "send vendor-class-identifier &quot;sagem&quot;;"
            client-option "send dhcp-client-identifier 1:*:*:*:*:*:*;"
            client-option "send user-class &quot;\047FSVDSL_livebox.MLTV.softathome.Livebox3&quot;;"
            client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
            default-route update
            default-route-distance 210
            name-server update
        }
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        address 192.168.1.1/24
        description LAN1
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description ONT
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description "Internet Orange DHCP"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;+FSVDSL_livebox.Internet.softathome.Livebox3&quot;;"
                client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*;"
                client-option "request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3118-authentication;"
                default-route update
                default-route-distance 210
                name-server update
            }
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
}
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "VLAN VOD"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description "VLAN TV"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {
        address 192.168.2.1/24
        description "Décodeur TV"
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth0
    rule 1 {
        description ""
        forward-to {
            address 192.168.1.*
            port 3389
        }
        original-port 3389
        protocol tcp
    }
    rule 2 {
        description ""
        forward-to {
            address 192.168.1.*
            port 21
        }
        original-port 21
        protocol tcp
    }
    rule 3 {
        description ""
        forward-to {
            address 192.168.1.*
            port 27618
        }
        original-port 27618
        protocol tcp_udp
    }
    rule 4 {
        description ""
        forward-to {
            address 192.168.1.*
            port 88
        }
        original-port 88
        protocol udp
    }
    rule 5 {
        description ""
        forward-to {
            address 192.168.1.*
            port 3074
        }
        original-port 3074
        protocol tcp_udp
    }
    rule 6 {
        description ""
        forward-to {
            address 192.168.1.*
            port 53
        }
        original-port 53
        protocol tcp_udp
    }
    rule 7 {
        description ""
        forward-to {
            address 192.168.1.*
            port 500
        }
        original-port 500
        protocol udp
    }
    rule 8 {
        description ""
        forward-to {
            address 192.168.1.*
            port 3544
        }
        original-port 3544
        protocol udp
    }
    rule 9 {
        description ""
        forward-to {
            address 192.168.1.*
            port 4500
        }
        original-port 4500
        protocol udp
    }
    wan-interface eth1.832
}
protocols {
    igmp-proxy {
        disable-quickleave
        interface br0 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth0 {
            role disabled
            threshold 1
        }
        interface eth2 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN1 {
            authoritative disable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.1
                lease 86400
                start 192.168.1.2 {
                    stop 192.168.1.200
                }
            }
        }
        shared-network-name LiveboxTV {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 192.168.2.1
                lease 86400
                start 192.168.2.21 {
                    stop 192.168.2.200
                }
            }
        }
    }
    dns {
        dynamic {
            interface eth1.832 {
                service dyndns {
                    host-name *.*.*
                    login ******
                    password ************
                    server dynupdate.no-ip.com
                }
            }
        }
        forwarding {
            cache-size 1000
            listen-on eth2
            listen-on eth0
        }
    }
    gui {
        https-port 443
    }
    mdns {
        reflector
    }
    nat {
        rule 5010 {
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
        rule 5011 {
            log disable
            outbound-interface br0
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    upnp2 {
        listen-on eth0
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan eth1.832
    }
}
system {
    config-management {
        commit-revisions 50
    }
    host-name ubnt
    login {
        user ubnt {
            authentication {
                encrypted-password *******************
            }
            level admin
        }
    }
    name-server 8.8.8.8
    name-server 8.8.4.4
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
        repository wheezy-security {
            components main
            distribution wheezy/updates
            password ""
            url http://security.debian.org
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
        host 192.168.1.* {
            facility all {
                level notice
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export enable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: frederic09 le 22 mars 2016 à 12:55:28
Bonjour tout le monde,

Je vais avoir besoin d'un peu d'aide.

J'ai un Billion BiPAC 7800DXL auquel il manque l'option 90 et que j'aimerais bien faire rajouter.

J'en avais fait part auprès de Billion et comme les tests préliminaires n'ont rien donné, les techniciens m'ont demandé de faire une capture wireshark avec un matériel compatible (livebox, ou un autre modem), pour voir comment ça boote en IPoE.

Seulement, il semblerait que je ne suis pas encore éligible au système IPoE d'Orange, j'ai tenté avec un portable sous Debian 8 et il n'a pas accroché d'IPv4 (et comme j'ai restitué la livebox il y a un bon moment, je ne peux pas vérifier si c'est une erreur de config de ma part).

C'est pourquoi j'aimerais savoir si l'un de vous pouvait m'envoyer une capture wireshark par MP, soit de votre livebox, soit de votre modem (ERL, etc...) , qui montre comment cette option 90 est chargée au démarrage, afin que je le leur transmette.

Par contre dans la capture, il faut le processus de démarrage au complet, si c'est juste une ligne avec l'option 90 ça ne leur ira pas.

Merci par avance en tout cas,
Frédéric.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 22 mars 2016 à 14:07:06
Il y a les 4 paquets échangés:

DHCP Discover  (Livebox -> Orange, vlan 832, CoS 6)
DHCP Offer       (Orange -> Livebox, vlan 832, CoS 7)
DHCP Request   (Livebox -> Orange, vlan 832, CoS 6)
DHCP ACK        (Orange -> Livebox, vlan 832, CoS 7)


DHCP Discover:
Frame 81: 380 bytes on wire (3040 bits), 380 bytes captured (3040 bits) on interface 0
Ethernet II, Src: Sagemcom_xx:xx:xx (00:37:b7:xx:xx:xx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
802.1Q Virtual LAN, PRI: 6, CFI: 0, ID: 832
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
Bootstrap Protocol (Discover)
    Message type: Boot Request (1)
    Hardware type: Ethernet (0x01)
    Hardware address length: 6
    Hops: 0
    Transaction ID: 0x0cc032e9
    Seconds elapsed: 1
    Bootp flags: 0x8000, Broadcast flag (Broadcast)
    Client IP address: 0.0.0.0
    Your (client) IP address: 0.0.0.0
    Next server IP address: 0.0.0.0
    Relay agent IP address: 0.0.0.0
    Client MAC address: Sagemcom_xx:xx:xx (00:37:b7:xx:xx:xx)
    Client hardware address padding: 00000000000000000000
    Server host name not given
    Boot file name not given
    Magic cookie: DHCP
    Option: (53) DHCP Message Type (Discover)
        Length: 1
        DHCP: Discover (1)
    Option: (55) Parameter Request List
        Length: 11
        Parameter Request List Item: (1) Subnet Mask
        Parameter Request List Item: (3) Router
        Parameter Request List Item: (6) Domain Name Server
        Parameter Request List Item: (15) Domain Name
        Parameter Request List Item: (28) Broadcast Address
        Parameter Request List Item: (51) IP Address Lease Time
        Parameter Request List Item: (58) Renewal Time Value
        Parameter Request List Item: (59) Rebinding Time Value
        Parameter Request List Item: (90) Authentication
        Parameter Request List Item: (119) Domain Search
        Parameter Request List Item: (120) SIP Servers
    Option: (60) Vendor class identifier
        Length: 5
        Vendor class identifier: sagem
    Option: (77) User Class Information
        Length: 44
        Instance of User Class: [0]
    Option: (90) Authentication
        Length: 22
        Protocol: configuration token (0)
        Algorithm: 0
        Replay Detection Method: Monotonically-increasing counter (0)
        RDM Replay Detection Value: 0x0000000000000000
        Authentication Information: fti/xxxxxx
    Option: (255) End
        Option End: 255

DHCP Offer:
Frame 82: 426 bytes on wire (3408 bits), 426 bytes captured (3408 bits) on interface 0
Ethernet II, Src: Alcatel-_dc:fc:eb (84:26:2b:dc:fc:eb), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
802.1Q Virtual LAN, PRI: 7, CFI: 0, ID: 832
Internet Protocol Version 4, Src: 86.245.184.1, Dst: 255.255.255.255
User Datagram Protocol, Src Port: 67 (67), Dst Port: 68 (68)
Bootstrap Protocol (Offer)
    Message type: Boot Reply (2)
    Hardware type: Ethernet (0x01)
    Hardware address length: 6
    Hops: 0
    Transaction ID: 0x0cc032e9
    Seconds elapsed: 1
    Bootp flags: 0x8000, Broadcast flag (Broadcast)
    Client IP address: 0.0.0.0
    Your (client) IP address: 86.245.xxx.xxx
    Next server IP address: 80.10.247.176
    Relay agent IP address: 80.10.237.69
    Client MAC address: Sagemcom_xx:xx:xx (00:37:b7:xx:xx:xx)
    Client hardware address padding: 00000000000000000000
    Server host name not given
    Boot file name not given
    Magic cookie: DHCP
    Option: (53) DHCP Message Type (Offer)
        Length: 1
        DHCP: Offer (2)
    Option: (54) DHCP Server Identifier
        Length: 4
        DHCP Server Identifier: 80.10.247.176
    Option: (51) IP Address Lease Time
        Length: 4
        IP Address Lease Time: (86400s) 1 day
    Option: (1) Subnet Mask
        Length: 4
        Subnet Mask: 255.255.248.0
    Option: (3) Router
        Length: 4
        Router: 86.245.184.1
    Option: (6) Domain Name Server
        Length: 8
        Domain Name Server: 80.10.246.136
        Domain Name Server: 81.253.149.6
    Option: (59) Rebinding Time Value
        Length: 4
        Rebinding Time Value: (69200s) 19 hours, 13 minutes, 20 seconds
    Option: (58) Renewal Time Value
        Length: 4
        Renewal Time Value: (43200s) 12 hours
    Option: (28) Broadcast Address
        Length: 4
        Broadcast Address: 86.245.191.255
    Option: (15) Domain Name
        Length: 9
        Domain Name: orange.fr
    Option: (120) SIP Servers
        Length: 42
        SIP Server Encoding: Fully Qualified Domain Name (0)
        SIP Server Name: sbct3g.PUT.access.orange-multimedia.net
    Option: (90) Authentication
        Length: 27
        Protocol: configuration token (0)
        Algorithm: 0
        Replay Detection Method: Monotonically-increasing counter (0)
        RDM Replay Detection Value: 0x0000000000000000
        Authentication Information: dhcpliveboxfr250
    Option: (255) End
        Option End: 255

DHCP Request:
Frame 83: 392 bytes on wire (3136 bits), 392 bytes captured (3136 bits) on interface 0
Ethernet II, Src: Sagemcom_xx:xx:xx (00:37:b7:xx:xx:xx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
802.1Q Virtual LAN, PRI: 6, CFI: 0, ID: 832
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
Bootstrap Protocol (Request)
    Message type: Boot Request (1)
    Hardware type: Ethernet (0x01)
    Hardware address length: 6
    Hops: 0
    Transaction ID: 0x0cc032e9
    Seconds elapsed: 1
    Bootp flags: 0x8000, Broadcast flag (Broadcast)
    Client IP address: 0.0.0.0
    Your (client) IP address: 0.0.0.0
    Next server IP address: 0.0.0.0
    Relay agent IP address: 0.0.0.0
    Client MAC address: Sagemcom_xx:xx:xx (00:37:b7:xx:xx:xx)
    Client hardware address padding: 00000000000000000000
    Server host name not given
    Boot file name not given
    Magic cookie: DHCP
    Option: (53) DHCP Message Type (Request)
        Length: 1
        DHCP: Request (3)
    Option: (50) Requested IP Address
        Length: 4
        Requested IP Address: 86.245.xxx.xxxx
    Option: (54) DHCP Server Identifier
        Length: 4
        DHCP Server Identifier: 80.10.247.176
    Option: (55) Parameter Request List
        Length: 11
        Parameter Request List Item: (1) Subnet Mask
        Parameter Request List Item: (3) Router
        Parameter Request List Item: (6) Domain Name Server
        Parameter Request List Item: (15) Domain Name
        Parameter Request List Item: (28) Broadcast Address
        Parameter Request List Item: (51) IP Address Lease Time
        Parameter Request List Item: (58) Renewal Time Value
        Parameter Request List Item: (59) Rebinding Time Value
        Parameter Request List Item: (90) Authentication
        Parameter Request List Item: (119) Domain Search
        Parameter Request List Item: (120) SIP Servers
    Option: (60) Vendor class identifier
        Length: 5
        Vendor class identifier: sagem
    Option: (77) User Class Information
        Length: 44
        Instance of User Class: [0]
    Option: (90) Authentication
        Length: 22
        Protocol: configuration token (0)
        Algorithm: 0
        Replay Detection Method: Monotonically-increasing counter (0)
        RDM Replay Detection Value: 0x0000000000000000
        Authentication Information: fti/xxxxxxx
    Option: (255) End
        Option End: 255

DHCP ACK:
Frame 84: 426 bytes on wire (3408 bits), 426 bytes captured (3408 bits) on interface 0
Ethernet II, Src: Alcatel-_dc:fc:eb (84:26:2b:dc:fc:eb), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
802.1Q Virtual LAN, PRI: 7, CFI: 0, ID: 832
Internet Protocol Version 4, Src: 86.245.184.1, Dst: 255.255.255.255
User Datagram Protocol, Src Port: 67 (67), Dst Port: 68 (68)
Bootstrap Protocol (ACK)
    Message type: Boot Reply (2)
    Hardware type: Ethernet (0x01)
    Hardware address length: 6
    Hops: 0
    Transaction ID: 0x0cc032e9
    Seconds elapsed: 1
    Bootp flags: 0x8000, Broadcast flag (Broadcast)
    Client IP address: 0.0.0.0
    Your (client) IP address: 86.245.xxx.xxx
    Next server IP address: 80.10.247.176
    Relay agent IP address: 80.10.237.69
    Client MAC address: Sagemcom_xx:xx:xx (00:37:b7:xx:xx:xx)
    Client hardware address padding: 00000000000000000000
    Server host name not given
    Boot file name not given
    Magic cookie: DHCP
    Option: (53) DHCP Message Type (ACK)
        Length: 1
        DHCP: ACK (5)
    Option: (54) DHCP Server Identifier
        Length: 4
        DHCP Server Identifier: 80.10.247.176
    Option: (51) IP Address Lease Time
        Length: 4
        IP Address Lease Time: (86400s) 1 day
    Option: (1) Subnet Mask
        Length: 4
        Subnet Mask: 255.255.248.0
    Option: (3) Router
        Length: 4
        Router: 86.245.184.1
    Option: (6) Domain Name Server
        Length: 8
        Domain Name Server: 80.10.246.136
        Domain Name Server: 81.253.149.6
    Option: (59) Rebinding Time Value
        Length: 4
        Rebinding Time Value: (69200s) 19 hours, 13 minutes, 20 seconds
    Option: (58) Renewal Time Value
        Length: 4
        Renewal Time Value: (43200s) 12 hours
    Option: (28) Broadcast Address
        Length: 4
        Broadcast Address: 86.245.191.255
    Option: (15) Domain Name
        Length: 9
        Domain Name: orange.fr
    Option: (120) SIP Servers
        Length: 42
        SIP Server Encoding: Fully Qualified Domain Name (0)
        SIP Server Name: sbct3g.PUT.access.orange-multimedia.net
    Option: (90) Authentication
        Length: 27
        Protocol: configuration token (0)
        Algorithm: 0
        Replay Detection Method: Monotonically-increasing counter (0)
        RDM Replay Detection Value: 0x0000000000000000
        Authentication Information: dhcpliveboxfr250
    Option: (255) End
        Option End: 255
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: frederic09 le 22 mars 2016 à 17:28:00
Merci kgersen, tu me sauves la vie.

Je viens de leur transmettre ces informations (en censurant quelques IPs que t'as oublié de cacher), en espérant que cela leur conviendra.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jeremyp3 le 23 mars 2016 à 02:09:01
Merci kgersen, tu me sauves la vie.

Je viens de leur transmettre ces informations (en censurant quelques IPs que t'as oublié de cacher), en espérant que cela leur conviendra.

les ips non caché sont des ip de l'infra orange, rien de confidentiel
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: 80n le 24 mars 2016 à 23:29:59
Bon je n'arrive toujours pas à récupérer une IP sur eth1.832 (j'ai bien un IP sur le br0 et la tv fonctionne, par contre pas de net) sur mon ERL 3 ports.

J'ai bien patché le fichier /opt/vyatta/sbin/vyatta-interfaces.pl pour l'option 90, mais ça ne veut pas.

Voici ma conf, si quelqu'un a une idée :

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "packets from Internet to LAN"
        enable-default-log
        rule 1 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "packets from Internet to the router"
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    options {
        mss-clamp {
            interface-type pppoe
            interface-type pptp
            interface-type tun
            mss 1452
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        address dhcp
        aging 300
        bridged-conntrack disable
description "TV - VOD"
        dhcp-options {
            client-option "send vendor-class-identifier &quot;sagem&quot;;"
            client-option "send dhcp-client-identifier 1:*:*:*:*:*:*;"
            client-option "send user-class &quot;\047FSVDSL_livebox.MLTV.softathome.Livebox3&quot;;"
            client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
            default-route update
            default-route-distance 210
            name-server update
        }
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        address 192.168.1.1/24
        description LAN1
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description ONT
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description "Internet Orange DHCP"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;+FSVDSL_livebox.Internet.softathome.Livebox3&quot;;"
                client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*;"
                client-option "request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3118-authentication;"
                default-route update
                default-route-distance 210
                name-server update
            }
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
}
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "VLAN VOD"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br0
            }
            description "VLAN TV"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {
        address 192.168.2.1/24
        description "Décodeur TV"
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth0
    rule 1 {
        description ""
        forward-to {
            address 192.168.1.*
            port 3389
        }
        original-port 3389
        protocol tcp
    }
    rule 2 {
        description ""
        forward-to {
            address 192.168.1.*
            port 21
        }
        original-port 21
        protocol tcp
    }
    rule 3 {
        description ""
        forward-to {
            address 192.168.1.*
            port 27618
        }
        original-port 27618
        protocol tcp_udp
    }
    rule 4 {
        description ""
        forward-to {
            address 192.168.1.*
            port 88
        }
        original-port 88
        protocol udp
    }
    rule 5 {
        description ""
        forward-to {
            address 192.168.1.*
            port 3074
        }
        original-port 3074
        protocol tcp_udp
    }
    rule 6 {
        description ""
        forward-to {
            address 192.168.1.*
            port 53
        }
        original-port 53
        protocol tcp_udp
    }
    rule 7 {
        description ""
        forward-to {
            address 192.168.1.*
            port 500
        }
        original-port 500
        protocol udp
    }
    rule 8 {
        description ""
        forward-to {
            address 192.168.1.*
            port 3544
        }
        original-port 3544
        protocol udp
    }
    rule 9 {
        description ""
        forward-to {
            address 192.168.1.*
            port 4500
        }
        original-port 4500
        protocol udp
    }
    wan-interface eth1.832
}
protocols {
    igmp-proxy {
        disable-quickleave
        interface br0 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth0 {
            role disabled
            threshold 1
        }
        interface eth2 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
}
service {
    dhcp-server {
        disabled false
        hostfile-update disable
        shared-network-name LAN1 {
            authoritative disable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.1
                dns-server 192.168.1.1
                lease 86400
                start 192.168.1.2 {
                    stop 192.168.1.200
                }
            }
        }
        shared-network-name LiveboxTV {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 192.168.2.1
                lease 86400
                start 192.168.2.21 {
                    stop 192.168.2.200
                }
            }
        }
    }
    dns {
        dynamic {
            interface eth1.832 {
                service dyndns {
                    host-name *.*.*
                    login ******
                    password ************
                    server dynupdate.no-ip.com
                }
            }
        }
        forwarding {
            cache-size 1000
            listen-on eth2
            listen-on eth0
        }
    }
    gui {
        https-port 443
    }
    mdns {
        reflector
    }
    nat {
        rule 5010 {
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
        rule 5011 {
            log disable
            outbound-interface br0
            protocol all
            type masquerade
        }
    }
    ssh {
        port 22
        protocol-version v2
    }
    upnp2 {
        listen-on eth0
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan eth1.832
    }
}
system {
    config-management {
        commit-revisions 50
    }
    host-name ubnt
    login {
        user ubnt {
            authentication {
                encrypted-password *******************
            }
            level admin
        }
    }
    name-server 8.8.8.8
    name-server 8.8.4.4
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
        repository wheezy-security {
            components main
            distribution wheezy/updates
            password ""
            url http://security.debian.org
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
        host 192.168.1.* {
            facility all {
                level notice
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export enable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Une coquille possible dans ta conf : tu as indiqué "rfc3118-authentication" et non "rfc3118-auth" dans tes options du client dhcp sur eth1.832. Je ne sais pas s'il suffit de mettre le script /opt/vyatta/sbin/vyatta-interfaces.pl en adéquation avec le config.boot ou si le nom du paramètre est strictement défini comme "rfc3118-auth".
Titre: IPv6 - ERL - route par défaut coté WAN (a fusionner)
Posté par: kgersen le 24 mars 2016 à 23:48:06
Edit: Par contre j'ai pas encore trouvé comme forcer linux à envoyer des routers solicitations pour obtenir la route par défaut... Il n'envoie que de neighbor solicitations... Du coup obligé d'attendre que "ba0bab" veuille bien envoyer un router advertisement de lui même pour que ça marche.

il faut forcer avec accept_ra (/proc/sys/net/ipv6/conf/<interface>/accept_ra ) a 2 car c'est un routeur pas un poste (regardes la doc concernant 'forwarding' et 'accept_ra').
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 25 mars 2016 à 01:37:06
Il suffit simplement que le vyatta-interfaces.pl et le config.boot soit configurés pareil.
Tu peux mettre le nom que tu veux  ;)
Titre: temporaire
Posté par: zoc le 25 mars 2016 à 06:27:16
il faut forcer avec accept_ra (/proc/sys/net/ipv6/conf/<interface>/accept_ra ) a 2 car c'est un routeur pas un poste (regardes la doc concernant 'forwarding' et 'accept_ra').
C'est ce que j'ai fait, et effectivement avec ça l'ERL accepte les routers advertisements et configure la route par défaut. Sauf qu'il n'envoie pas de solicitations, donc il faut attendre que le routeur d'Orange envoie l'advertisement de lui-même, ce qu'il ne fait qu'une fois toutes les 20 minutes d'après mes captures.

D'ailleurs, pour mettre accept_ra à 2 sans avoir besoin de scripter sur l'ERL, il suffit de faire ça:
        vif 832 {
             ...
             ipv6 {
                address {
                    autoconf
                }
            }
        }


Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: gegere le 25 mars 2016 à 08:46:45
Une coquille possible dans ta conf : tu as indiqué "rfc3118-authentication" et non "rfc3118-auth" dans tes options du client dhcp sur eth1.832. Je ne sais pas s'il suffit de mettre le script /opt/vyatta/sbin/vyatta-interfaces.pl en adéquation avec le config.boot ou si le nom du paramètre est strictement défini comme "rfc3118-auth".

Il suffit simplement que le vyatta-interfaces.pl et le config.boot soit configurés pareil.
Tu peux mettre le nom que tu veux  ;)

J'ai effectivement la même configuration entre le vyatta-interfaces.pl et le config.boot et ça ne fonctionne pas plus. Il faut que je teste le dhclient de zoc, on verra si ça change quelque chose.

Edit : testé le dhclient de zoc, c'est fonctionnel désormais en DHCP \o/
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Florian le 26 mars 2016 à 17:41:11
Globalement, on a une idée de la stratégie d'Orange ? Apparemment selon les zones, on a besoin de CoS sur les requêtes DHCP ou pas. Ils vont unifier ça ? Si oui dans quel "sens ? etc... C'est curieux comme différenciation.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: nanostra le 27 mars 2016 à 16:14:40
Bonjour les amis,

L'on va m'installer la fibre orange le 7 avril (date de passage de l'installateur), fibre extérieure tirée il y a quelques semaines, et offre Jet fibre.
Je souhaite absolument garder mon matériel Ubiquiti en place qui assure un max... actuellement avec ma Box Numéricable en 400 Mb...

Mon matériel :

- Ubiquiti Edgerouter Pro ERPro-8 https://www.ubnt.com/edgemax/edgerouter-pro/ (https://www.ubnt.com/edgemax/edgerouter-pro/) celui avec 2 ports SFP --> Firmware 1.8 de mars (tout nouveau)
- Ubiquiti EdgeSwitch Lite 24 ports ES-24-LITE https://www.ubnt.com/edgemax/edgeswitch-lite/ également avec 2 ports SFP
- Ubiquiti unifi UAP-AC pour le Wifi branché sur le Switch http://www.ldlc.com/fiche/PB00165459.html (http://www.ldlc.com/fiche/PB00165459.html)

Le routeur et le switch sont reliés en SFP avec le cable qui suit http://www.mhzshop.com/shop/index.php?cl=details&anid=fc5547d034214f771.21030523 (http://www.mhzshop.com/shop/index.php?cl=details&anid=fc5547d034214f771.21030523) sur l'eth 7 du routeur. Ce détail est uniquement à destination de ceux qui cherchent un cable SFP compatible entre le Routeur et le Switch d'ubiquiti.

La Problématique

Je m'étais préparé mon fichier boot en PPPOE (solution LIVEBOX en eth0, ONT en eth1, vers switch sur Eth7) et validé celui-ci sur le routeur après avoir lu 200 pages de forum... et aujourd'hui je comprend que le réseau Orange abandonne le PPOE pour passer en DHCP sur IPV4 et IPV6... en conlcusion, tout à refaire !!!

Etant donné qu'il s'agit d'une nouvelle installation, je pense que je serai donc en DHCP directement... aussi j'ai balayé ce nouveau fil et finalement je me demandais si quelqu'un pourrait publier un récap qui fonctionne, à la lecture du fil, je ne suis plus trop certain... je parle d'une solution DHCP IPV4 pour l'IPV6 pas encore d'urgence.

J'ai identifié la solution Zoc et le récap de 80n, quelle solution fonctionne, quels sont les points à prendre en considération qui se seraient dilués dans les différentes pages...

Je souhaite conserver toutes les fonctionnalités TV +  Téléphonie et il ne me dérange pas de conserver la Livebox derrière le routeur et de m'en servir pour y connecter Télphone et 2 déco TV.

Bien entendu, une fois en place, c'est avec plaisir que je publierai un process détaillé pour aider la communauté.

Merci à tous.

Mon installation en PJ :)

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jma64 le 27 mars 2016 à 18:50:45

Etant donné qu'il s'agit d'une nouvelle installation, je pense que je serai donc en DHCP directement...



Pa sûr, le déploiement du DHCP se fait par 'plaques'. Mais à terme, oui , tu seras en DHCP.
Il faudrait regarder la carte de déploiement de l'IPV6 pour savoir si le 59 est en cours ou pas.
 (fil su l'IPV6  https://lafibre.info/orange-les-news/ipv6-actif-recensement-par-departement/288/ )






Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: nanostra le 27 mars 2016 à 19:01:00
Effectivement le 59 n'est pas sur la carte IPV6... bien cela devrait me laisse le temps de préparer ma config DHCP...

Merci
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 28 mars 2016 à 06:31:33
j'ai fait un récap des valeurs QoS émises par la livebox:

https://docs.google.com/spreadsheets/d/1Toh7a3wyXfH2NscAvhgxOJk1JEEBd6PwfmO003xRDo0/edit?usp=sharing

C'est un récap du traffic sortant de la livebox ayant sa MAC adresse comme source ethernet des paquets.

il est obtenu comme suit:

tshark -r boot-livebox.pcapng -T fields -e _ws.col.Protocol -e vlan.id -e vlan.priority -e ip.src -e ip.proto -e ip.dsfield -e ipv6.tclass -E header=y -E separator=, -E quote=d eth.src==00:37:b7:xx:xx:xx > qos-livebox.csvLe résultat est un ficher qos-livebox.csv qu'on peut ouvrir dans un tableur.

boot-livebox.pcapng est une capture faite entre l'ONT et la livebox pendant le démarrage de la livebox suivi d'un appel téléphonique entrant, d'un appel téléphonique sortant et regarder une chaine TV.

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: MikeTheFreeman le 28 mars 2016 à 21:01:34
Super ton extract.
Ça confirme bien tout ce qui a été dit, les vlan tv sont ok (tout est taggé pareil en sortie) et il n'y a que le vlan 832 qui pose soucis.

Ce qui est étrange c'est que le même protocole (ex ICMPv6) peut sortir avec des CoS différentes ce qui complexifie encore le schmilblick.
Je suppose que les paquets taggés correspondent aux différents services d'Orange hors trafic 'internet'.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: thegibs le 28 mars 2016 à 21:53:01
Bonjour,

j'ai fait un récap des valeurs QoS émises par la livebox:
https://docs.google.com/spreadsheets/d/1Toh7a3wyXfH2NscAvhgxOJk1JEEBd6PwfmO003xRDo0/edit?usp=sharing

Génial ! exactement ce que je cherchais pour mettre ça en place sur un switch manageable en amont pour éviter la bidouille sur l'ERL.
Je n'ai plus d'excuse maintenant...

Merci encore pour ce travail, et pour la façon de l'obtenir.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: rck le 21 avril 2016 à 10:50:42
J'ai effectivement la même configuration entre le vyatta-interfaces.pl et le config.boot et ça ne fonctionne pas plus. Il faut que je teste le dhclient de zoc, on verra si ça change quelque chose.

Edit : testé le dhclient de zoc, c'est fonctionnel désormais en DHCP \o/
Bonjour gegere,

Je suis dans la même configuration que toi et je n'arrive pas à me connecter sur le réseau Orange malgré une config correcte.  ???

Est ce que tu pourrais me donner plus de précision sur ton "Edit: testé le dhclient de zoc, c'est fonctionnel" ?
J'ai suivi le guide détaillé de 80n, et pour moi il utilise déjà les recommandations de zoc (sans l'option egress-qos)

Merci !

EDIT: je n'avais pas vu l'autre thread dédié au EdgeRouteur ! merci :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: gegere le 21 avril 2016 à 11:09:53
Bonjour gegere,

Je suis dans la même configuration que toi et je n'arrive pas à me connecter sur le réseau Orange malgré une config correcte.  ???

Est ce que tu pourrais me donner plus de précision sur ton "Edit: testé le dhclient de zoc, c'est fonctionnel" ?
J'ai suivi le guide détaillé de 80n, et pour moi il utilise déjà les recommandations de zoc (sans l'option egress-qos)

Merci !

Voir ici : https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg319883/#msg319883

A noter que je récupère bien une IP, le surf fonctionne et la tv aussi. Cependant, au bout de quelques jours, cette dernière cesse de fonctionner (plus aucun flux sur le Vlan TV ne passe mais ça fonctionne très bien pour la VoD), obligé de redémarrer l'ERL à chaque fois.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: rck le 21 avril 2016 à 11:12:41
Merci, je vais tester le nouveau client dhcp se soir :)
Dommage que la TV ne soit pas suffisamment stable avec l'ERL.. Est tu en firmware 1.7 ou 1.8 ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 21 avril 2016 à 11:17:31
plus aucun flux sur le Vlan TV ne passe mais ça fonctionne très bien pour la VoD), obligé de redémarrer l'ERL à chaque fois.
Ca ressembe à un crash d'igmpproxy sur l'ERL.

La prochaine fois que tu as ce soucis, essaye de faire un restart igmp-proxy pour voir si le stream TV est de nouveau fonctionnel. Pour éviter les plantages, je conseille de désactiver explicitement toutes les interfaces qui ne sont pas sensées participer au routage multicast, ce qui donne, en gros, niveau de la config (la mienne est légèrement différente car j'ai plusieurs VLANs sur mon réseau local):

protocols {
    igmp-proxy {
        disable-quickleave
        interface eth0 {
            role disabled
        }
        interface eth1 {
            role disabled
        }
        interface eth1.832 {
            role disabled
        }
        interface eth1.838 {
            role disabled
        }
        interface eth1.840 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth2 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }

Cette configuration suppose que le décodeur TV est sur eth2, et qu'il n'y a pas de bridge entre eth1.838 et eth1.840, puisqu'il n'est pas nécessaire et pénalise la charge processeur.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 21 avril 2016 à 11:20:08
Merci, je vais tester le nouveau client dhcp se soir :)
Dommage que la TV ne soit pas suffisamment stable avec l'ERL.. Est tu en firmware 1.7 ou 1.8 ?
Attention, avec le nouveau client dhcp, l'option egress-qos avec la valeur "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7" est obligatoire (Parce que sinon par défaut la priorité kernel est mappée vers le priorité 802.1.p 0 comme avec le client standard).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: gegere le 21 avril 2016 à 14:10:49
Ca ressembe à un crash d'igmpproxy sur l'ERL.

La prochaine fois que tu as ce soucis, essaye de faire un restart igmp-proxy pour voir si le stream TV est de nouveau fonctionnel. Pour éviter les plantages, je conseille de désactiver explicitement toutes les interfaces qui ne sont pas sensées participer au routage multicast, ce qui donne, en gros, niveau de la config (la mienne est légèrement différente car j'ai plusieurs VLANs sur mon réseau local):

protocols {
    igmp-proxy {
        disable-quickleave
        interface eth0 {
            role disabled
        }
        interface eth1 {
            role disabled
        }
        interface eth1.832 {
            role disabled
        }
        interface eth1.838 {
            role disabled
        }
        interface eth1.840 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth2 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }

Cette configuration suppose que le décodeur TV est sur eth2, et qu'il n'y a pas de bridge entre eth1.838 et eth1.840, puisqu'il n'est pas nécessaire et pénalise la charge processeur.

Ah intéressant à savoir, merci.
Mais j'ai du mal à comprendre un truc, j'ai un bridge pour la tv (nommé br0) dont font partie eth1.838 et eth1.840. Comment fais tu fonctionner la tv sans ce bridge d'un point de vue conf ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: mystogan le 21 avril 2016 à 14:20:08
Bonjour,
j'ai suivi le tuto de la page 1 pour une DEBIAN avec pour but de garder la livebox pour telé - téléphone.

J'arrive à avoir une IP V4 sur la debian (une v6 aussi), la livebox fonctionne aussi (téléphone + internet)
Par contre, la télé c'est écran noir (mais avec les menus, le nom de la chaine qui s'affiche, le programme télé ...).
j'ai un vlan pour le bridge 838 et un autre pour le 840

le seul moyen que j'ai trouvé pour faire marcher la télé c'est faire un bridge sur eth10 et eth11 (carte reseau ONT et livebox) mais forcement ça sert à rien comme ça...

Auriez-vous une idée sur ce qui pourrait poser problème?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 21 avril 2016 à 14:21:05
@gegere: C'est simple:

Configuration de l'interface ONT :

    ethernet eth1 {
        description ONT
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description Data
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox3&quot;;"
                client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
                client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time,
 dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
                default-route update
                default-route-distance 210
                name-server update
            }
            egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
            firewall {
                in {
                    ipv6-name WAN6_IN
                    name WAN_IN
                }
                local {
                    ipv6-name WAN6_LOCAL
                    name WAN_LOCAL
                }
            }
            ipv6 {
                address {
                    autoconf
                }
            }
        }
        vif 838 {
            address dhcp
            description "TV VOD"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;\047FSVDSL_livebox.MLTV.softathome.Livebox3&quot;;"
                client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;"
                client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
                default-route no-update
                default-route-distance 210
                name-server update
            }
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
            firewall {
                in {
                    name ORANGE_IN
                }
                local {
                    name ORANGE_LOCAL
                }
            }
        }
        vif 840 {
            address 192.168.255.254/32
            description "TV Stream"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }

Configuration du NAT (Internet + VOD) :
    nat {
        rule 5010 {
            description "Internet NAT"
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
        rule 5011 {
            description "VOD NAT"
            log disable
            outbound-interface eth1.838
            protocol all
            type masquerade
        }
    }
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 21 avril 2016 à 14:36:01

le seul moyen que j'ai trouvé pour faire marcher la télé c'est faire un bridge sur eth10 et eth11 (carte reseau ONT et livebox) mais forcement ça sert à rien comme ça...


c'est ce qu'il faut faire.

(https://drive.google.com/uc?id=0B5ma-el6j-bDNnY0M1VoT0pxQ1E)

ERL = ton routeur/pc routeur (debian)

Les 2 vlan TV (838 et 840) traversent juste le routeur. Il faut 2 bridges  eth1<->eth2 (eth10 et eth11 dans ton cas), un par VLAN.

Idéalement d'ailleurs on peut meme éviter ca en mettant 2 switch pour amener les 2 Vlan (838 et 840) directement a la livebox.

ONT -- switch -- vlan 832 -- debian-------|
          |-- vlan 838 & 840 ----------switch--- livebox --- decodeur TV
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: gegere le 21 avril 2016 à 17:47:21
@zoc merci, je teste ça ce week end  :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 21 avril 2016 à 19:41:31
Sur eth2, VLAN 835 ou VLAN 832 ?

832 c'est un bug dans le dessin. je l'ai mis a jour.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: rck le 22 avril 2016 à 09:30:39
Attention, avec le nouveau client dhcp, l'option egress-qos avec la valeur "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7" est obligatoire (Parce que sinon par défaut la priorité kernel est mappée vers le priorité 802.1.p 0 comme avec le client standard).

Bonjour Zoc,
Je viens de tester ton nouveau client avec l'option egress-qos, et il fonctionne parfaitement !
Merci beaucoup pour cette solution :)

Question: mon Edgerouter 1.8 à mis par défaut un "mtu 1500" à la vif 832 de mon interface Wan, est ce que la laisse ou je l'enlève d'après toi ?
 
edit:
(de plus, je remarque que ta conf dhcp-options de l'ONT tu ne précise pas "interface-mtu" dans les "request")
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 22 avril 2016 à 09:47:48
1500 c'est la mtu constatée de toute façon. Tu peux le laisser ou l'enlever ça ne changera rien...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Melchior le 22 avril 2016 à 18:38:28
Bonjour à tous,

Est-ce que quelqu'un a déjà tenté de faire ce genre d'installation avec un serveur type VMware ESXi pour monter son router maison ?


Cordialement
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Nico le 22 avril 2016 à 22:10:02
Ca tourne avec une Neufbox et pas une Livebox mais un ami a un Pfsense virtualisé à la place de la NB6.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Melchior le 22 avril 2016 à 22:32:04
C'est déjà un bon point :D

J'ai fait une installation avec du VMware et un FreeBSD 10.2 et j'ai configuré tout le bordel à la main mais rien ne fonctionne...

Je pensais que ça venait du fait que j'utilise la virtu mais si tu me dis que ça fonctionne même si ce n'est pas une Livebox c'est plutôt bon signe !


EDIT: Je viens de tester avec une connexion en PPPoE et ça fonctionne donc je pense que c'est une mauvaise config pour le DHCP. Pourtant que je me suis basé sur la configuration d'OpenBSD. Sans doute cette merdouille de vlanpcp 6 qui n'est disponible uniquement sur PFsense...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 23 avril 2016 à 01:21:30
Salut Melchior. Fais attention l'option 77 ne passe pas sur le dhclient de freebsd, il faut recompiler le dhclient avec le paramètre qui va bien.
Sinon passer sous openbsd et ça marche très bien ;)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: renaud07 le 23 avril 2016 à 01:51:18
Salut Melchior. Fais attention l'option 77 ne passe pas sur le dhclient de freebsd, il faut recompiler le dhclient avec le paramètre qui va bien.
Sinon passer sous openbsd et ça marche très bien ;)

Dans ce cas autant prendre une bonne vieille debian  :P
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 23 avril 2016 à 02:45:39
Pour faire un Par feu autant le faire sous openbsd  ;)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: renaud07 le 23 avril 2016 à 03:26:21
Je trollais  ;)

C'est sûr que côté sécurité y'a pas mieux qu'openBSD. Faudra que je me l'installe un jour pour voir.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Melchior le 23 avril 2016 à 12:55:11
Cette histoire de dhclient sur pfSense, je l'ai déjà vu sur d'autres topics.

Cette après-midi je vais tester la nouvelle version 2.3 de pfSense et regarder si il y a toujours ce problème.

Petite question pour ceux qui savent, est-ce volontaire de la part de pfSense ou bien de FreeBSD ? Si le problème vient de FreeBSD, je comprends mieux pourquoi je ne reçois pas d'IP :)

Je vais egalement testé avec OpenBSD mais je le connais moins bien que FreeBSD surtout pour la partie compilation kernel+userland qui d'après la doc est un peu plus archaique que FreeBSD.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Melchior le 23 avril 2016 à 15:29:38
Après vérification avec pfSense et de nouveau mon FreeBSD monté à la main c'est bien un problème avec dhclient qui n'est toujours pas corrigé.

Le problème viendrait de la variable DHO_DHCP_USER_CLASS_ID qui est manquante dans le fichier table.c aussi bien pour FreeBSD 10.2 que 10.3.

https://svnweb.freebsd.org/base/releng/10.2/sbin/dhclient/tables.c?revision=285830&view=markup
https://svnweb.freebsd.org/base/releng/10.3/sbin/dhclient/tables.c?revision=296373&view=markup

Solution trouvé sur :
https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-infos-generales-orange/24/
https://bugs.freebsd.org/bugzilla/show_bug.cgi?id=184117

C'est parti pour un peu de compilation :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 23 avril 2016 à 16:41:34
 ;)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: mystogan le 23 avril 2016 à 20:40:25
c'est ce qu'il faut faire.

(https://drive.google.com/uc?id=0B5ma-el6j-bDNnY0M1VoT0pxQ1E)

ERL = ton routeur/pc routeur (debian)

Les 2 vlan TV (838 et 840) traversent juste le routeur. Il faut 2 bridges  eth1<->eth2 (eth10 et eth11 dans ton cas), un par VLAN.

Idéalement d'ailleurs on peut meme éviter ca en mettant 2 switch pour amener les 2 Vlan (838 et 840) directement a la livebox.

ONT -- switch -- vlan 832 -- debian-------|
          |-- vlan 838 & 840 ----------switch--- livebox --- decodeur TV


C'est ce que j’essayais de faire, finalement j'ai fini par y arriver.

Maintenant, plus moyen d'avoir une IP V6, même en essayant de ne faire que ça...

@Melchior
Je fais mes tests dans une VM sous qemu/kvm

J'ai remarqué que ça ne marchait pas avec des cartes réseaux virtuelles (macvtap), par contre avec de vrais cartes réseaux en PCI passthrough, ça marche.
Pour être sur fait un bridge en ton interface d'entrée (ont) et ton interface de sortie (livebox), si la livebox et la télé ne disent rien c'est que c'est bon.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: mystogan le 24 avril 2016 à 00:00:58
En fait, même la livebox directement sur l'ONT n'arrive pas avoir une IP V6.
"statut de votre connectivité IPV6 est: en cours"

Pas trop la peine de passer du temps la dessus tant que la livebox elle même n'y arrive plus.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: mystogan le 24 avril 2016 à 15:49:56
Cet après-midi IP V6 remarche sur la livebox et sur ma Debian Jessie aussi  8)

Merci pour les tutos Linux, sans eux, je n'aurai même pas essayé.

petit test de debit
down: 920M avec qemu à 102%
up: 240M avec qemu à 200%

A l'intérieur de la machine virtuelle, 99% idle
Grosse charge sur le Host rien sur le Guest???

Ne reste plus qu'un problème
Si je démarre la VM avant la Livebox, dibbler-server plante avec comme message:

2016.04.24 15:02:24 Server Info      Mapping allow, deny list to PD  1
2016.04.24 15:02:24 Server Critical  Interface eth11.832/11 is down or doesn't have any link scope address.


Hors le link scope n'apparait que si la Livebox est up.


Il n'y aurait pas moyen de la donner à la main avant de demarrer Dibbler?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Melchior le 24 avril 2016 à 17:47:06
Petit retour de mes exploits (enfin si on peut dire ça......)

Tout d'abord un grand merci à @Dam64 d'avoir remis le dhclient sur le tapis, sans ça je pouvais encore chercher pour obtenir une IP :)

J'ai re-complié ce fameux dhclient et je l'ai installé sur pfSense et mon FreeBSD 10.2 monté maison.

Sur pfSense, moins de deux secondes pour avoir l'IPv4 en mettant bien la priorité à 6 pour le vlan 832.
Sur FreeBSD 10.2, c'est un peu plus malsain. Le vlanpcp n'existant pas il a fallut faire un montage avec netgraph pour obtenir l'IPv4.

Je n'ai pas encore testé le débit et je n'ai pas regardé les régles de filtrage pour le moment.
Pour pfSense au niveau du filtrage je m'en fais pas trop mais ce sera plus pour le FreeBSD 10.2 que ça va me donner des migraines car de mémoire netgraph et pf ne sont pas de bons copains...

Pour @mystogan, mes petits tests se font fait sur un VMware ESXi 6.0.0U1
J'ai dédié un port pour l'ONT avec un petit vSwitch et j'ai collé le vlan 832 dessus.
Pas de passtrough et ça à monté l'IP direct sans soucis. Sans doute aussi parce que j'ai collé une interface E1000 sur la VM (em0 pour FreeBSD).
Je ne sais pas comment ça marche pour qemu/kvm au niveau des interfaces.

Voila voila :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 24 avril 2016 à 19:05:25
Melchior pas de soucis ;)

Par contre tu aurais pu compiler le dhclient pour qu'il envoi directement ses requêtes en prio 6.
Perso je n'ai pas le soucis étant donné que mon edgeswitch le fait pour le routeur
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Melchior le 24 avril 2016 à 19:48:39
La prio 6 directement dans le dhclient ?

Je vois pas trop comment faire ça puisque d'après ce que j'ai vu c'est la couche vlan qui gère ça

De plus les autres requetes pour accèder à Internet ne doivent pas passer par une autre prio que la 6 ?

Sur ton edge tu as quoi comme OS OpenBSD ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: mystogan le 24 avril 2016 à 21:03:38
Il faut modifier le code source de dhclient et de dibbler-client.
Zoc l'a fait pour l'ERL et a fourni les binaires.

Le edge est une debian à la base.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 24 avril 2016 à 21:14:34
Attention, ma solution fonctionne sur Linux car on peut facilement mapper la priorité interne au noyau des sockets (skb priority, modifiable par un appel à setsockopt avec le paramètre SO_PRIORITY) sur la priorité 802.1p.

Rien ne dit que ce soit faisable de la même manière sur autre chose que Linux.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: mystogan le 25 avril 2016 à 19:03:19
J'ai trouvé le poste ou tu dis ce que tu fais pour dhclient dans common/lpf.c (page 201 du thread edgemax)

Je tenterai bien aussi pour dibbler.
Pourrais-tu me dire ce tu fais et ou pour dibbler?

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: benoitm974 le 27 avril 2016 à 00:50:46
Bonjour,

Suis dans le 92 et mon abo orange fibre est passé en DHCP récemment.

Depuis j'ai décidé de mettre un petit Zotac CI323(dual gigabit / 80211ac géré par debian) en guise de routeur.

J'ai appliqué les étapes du premier post, ca fonctionne mais j'ai un soucis avec les priorité SDCP/TOS. Si j'applique une quelconque priorité CS6, 4 ou 3, mes débit en upload sont très mauvais (6Mb vs 178Mb)

Est-ce que cela signifie que je suis dans une zone ou je peux n'appliquer aucune prio ? ou du moins rester en CS0 pour la majorité du traffic ?

Benoit
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: dario le 21 mai 2016 à 21:42:36
Bonjour à tous,

Je tiens d'abord à remercier tous les intervenants de ce fil de discussion dont les messages m'ont énormément aidé à réaliser ma configuration ! Je viens de passer ces 2-3 derniers jours à décortiquer toutes vos expériences, découvertes, réflexions et fichiers de configuration pour les transposer dans mon contexte. Et ça a très bien fonctionné ! Je vous envoie ce message en guise de remerciement mais aussi pour partager quelques éléments nouveaux aux personnes qui tenteraient l'opération dans une configuration similaire à la mienne. C'est parti !

Note : je tiens à préciser que je suis satisfait par ma configuration mais que j'ai eu à contourner des obstacles de manières parfois peu orthodoxes. N'hésitez donc pas à pointer du doigt les horreurs que vous constaterez certainement et à me donner des pistes pour améliorer  :)

D'abord quelques éléments de contexte :

Schéma réseau : ONT <-> (eth0) Serveur Debian (eth1) <-> LAN

Note : je ne le répéterai pas à chaque fois mais notez bien que j'utiliserai ces 2 noms d'interface dans les fichiers de configuration et commandes ci-dessous. Il vous faudra donc les remplacer par vos propres noms d'interface.

Le routeur Debian assure donc principalement les rôles suivants :

Pour l'instant, pas de firewall (ce qui est notamment problématique en IPv6 car tous mes postes du LAN ont une IPv6 routable depuis Internet !) et la résolution de noms est confiée à 2 serveurs DNS publics de Google (compatibles IPv6) avec fallback sur un serveur DNS d'Orange.

Connexion via DHCP (IPv4)

VLAN

Tout d'abord il m'a fallu créer le VLAN 832.

Chargement manuel du module :
modprobe 8021q
Ajout du module au fichier /etc/modules pour chargement automatique au boot :
echo "8021q" >> /etc/modules
Installation du paquet contenant les utilitaires permettant de configurer les VLAN :
apt install vlan
Pour tester si tout le nécessaire est en place, on peut tenter la création d'un VLAN à la main (pas utile à terme car ce sera automatisé) :
vconfig add eth0 832
Si tout s'est bien passé, vous devriez voir s'afficher le message suivant : Added VLAN with VID == 832 to IF -:eth0:-

On peut maintenant supprimer ce VLAN qui sera par la suite créé automatiquement :
vconfig rem eth0.832
Notez bien que la commande "vconfig add" attend, après le nom de l'interface (eth0 chez moi), un identifiant de VLAN (832). Alors que la commande "vconfig rem" attend le nom complet du vlan (eth0.832).

On est bons pour le VLAN.

/etc/network/interfaces

On ajoute les lignes suivantes au fichier /etc/network/interfaces :

auto eth0
iface eth0 inet static
        address 192.168.1.100
        netmask 255.255.255.0
        broadcast 192.168.1.254

auto eth0.832
iface eth0.832 inet manual
    up dhclient -cf /etc/dhcp/dhclient.conf -v -pf /var/run/dhclient.vlan832.pid -lf /var/lib/dhcp/dhclient.vlan832.leases eth0.832
    post-down dhclient -x -pf /var/run/dhclient.vlan832.pid || true

iface eth0.832 inet6 manual

auto eth1
iface eth1 inet static
    address 192.168.0.100
    netmask 255.255.255.0
    broadcast 192.168.0.254

iface eth1 inet6 auto

Tout d'abord, je ne suis pas certain qu'il faille vraiment une adresse IP pour eth0, mais je pense que l'interface doit être UP pour que le vlan832 puisse être créé et je ne sais pas comment "upper" une interface sans lui donner une adresse IP.

Ensuite pour le eth0.832. Vous trouverez surement étrange qu'il soit configuré en "manual" et non "dhcp". Moi aussi :) D'autant plus que la configuration manuelle qui suit ne fait que lancer le dhclient.
Le fait est que, chez moi, si je le configure en "dhcp" le programme dhclient est lancé sans tenir compte du fichier /etc/dhcp/dhclient.conf. Oui c'est très étrange et je suppose que l'erreur vient de mon côté car la documentation de dhclient indique bien que si le paramètre -cf n'est pas fourni, ça va bien chercher le fichier dhclient.conf. Sauf que, pas chez moi. Du coup j'utilise le mode "manual" pour pouvoir lancer moi-même la commande dhclient avec le paramètre -cf qui indique quel fichier de configuration utiliser. Et ça c'est très important car le contenu de ce fichier est un peu la clé de voûte !

Il peut être utile de créer à l'avance un fichier /var/lib/dhcp/dhclient.vlan832.leases vide :
touch /var/lib/dhcp/dhclient.vlan832.leases
Avant de tenter de démarrer l'interface, il faut configurer dhclient.

Configuration de dhclient

Note : pour des raisons obscures liées à mes différentes tentatives, dans ma configuration j'utilise la dernière version (4.3.4) de la suite ISC DHCP (comprenant notamment dhclient) compilée à partir des sources officielles. La version officielle de Debian wheezy est en ce moment la 4.2.2. Au final, je pense que mes échecs avec la 4.2.2 étaient uniquement dus à des erreurs de configuration et je ne pense pas qu'il soit nécessaire de s'embêter à récupérer la dernière version. À l'avenir, j'essaierai de repasser sur le paquet Debian isc-dhcp-client 4.2.2.

Voici ma configuration (/etc/dhcp/dhclient.conf) :

option rfc3118-authentication code 90 = string;

interface "eth0.832" {
        send vendor-class-identifier "sagem";
        #send dhcp-client-identifier xx:xx:xx:xx:xx:xx;
        send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
        send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;
        request subnet-mask, routers,
                domain-name, broadcast-address, dhcp-lease-time,
                dhcp-renewal-time, dhcp-rebinding-time,
                rfc3118-authentication;
        prepend domain-name-servers 8.8.8.8, 8.8.4.4;
}

Le dhcp-client-identifier contient tout simplement l'adresse MAC de mon eth0. D'après mes tests, ce n'est pas obligatoire de l'envoyer (d'où le fait qu'il soit commenté) mais j'avais dû lire quelque part qu'il pouvait être utile. Désolé, je ne sais plus.

Par ailleurs, j'ai également pris la peine de cloner l'adresse MAC de la livebox pour l'attribuer à mon eth0. Non seulement c'est probablement inutile mais en plus ça me posera un problème certain dès que j'essaierai de rebrancher la livebox sur le réseau pour bénéficier de la téléphonie. Au départ, ça me semblait toutefois une bonne idée au cas où Orange (où son ONT) aurait gardé une trace de l'adresse MAC de la livebox à des fins d'authentification.

D'après mes tests, le "vendor-class-identifier" n'est pas non plus obligatoire. Mais comme tout le monde ici l'envoie, je préfère l'envoyer également :)

Pour le rfc3118-authentication (authentification, code 90, option non prévue par ISC DHCP mais rendue utilisable par la première ligne "option ..."), il s'agit d'encoder la valeur hexadécimale correspondant à la partie de votre identifiant Orange qui se situe après "fti". Pour l'obtenir facilement, je vous renvoie au premier post du topic où vous trouverez le script generator.sh (merci zoc !) ou encore le formulaire en ligne https://jsfiddle.net/kgersen/45zudr15/embedded/result/ (merci kgersen !).

Pour la ligne "request", je ne suis pas sûr que toutes les options requises soient obligatoires, mais je n'ai pas pris le temps de tester. Parfois, c'est juste bien quand ça marche :) J'ai quand même enlevé les options relatives aux DNS car je préfère utiliser les DNS Google (d'où le "prepend domain-name-servers ...").

Pensez également à avoir dans vos règles iptables celle qui permet le NAT :

iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0.832

Sans oublier d'activer le partage de connexion :

sysctl -w net/ipv6/conf/eth0.832/forwarding=1

Connexion via DHCP (IPv6)

Pour la partie IPv6, je vous renvoie à un dépôt GitHub que j'ai mis en place il y a quelques jours : https://github.com/dario-spagnolo/ipv6-scripts

Il s'agit d'un fork de https://github.com/jaymzh/v6-gw-scripts à qui j'ai emprunté la plupart du code et la logique générale, tout en l'adaptant aux spécificités d'Orange et en automatisant un petit peu plus. Il y aurait encore du travail à faire mais pour l'instant ça fonctionne.

Conclusion


J'espère que ces quelques lignes aideront certains d'entre vous à installer votre serveur Debian en face de l'ONT :)

Si vous avez des remarques ou des questions, n'hésitez pas. D'autant plus que j'ai écrit ce message en plusieurs fois et j'ai peut-être oublié des passages essentiels de la configuration. Si c'est le cas, dites-le moi et je compléterai avec plaisir.

Merci encore aux nombreux participants de ce topic sans qui, je n'y serais jamais arrivé !
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: renaud07 le 22 mai 2016 à 03:14:57
@dario : Super tuto :)

Pour le pare-feu, par rapport à l'ipv6, y'a pas de difficulté particulière. Il suffit d'utiliser ip6tables au lieu d'iptables. Les règles restent les mêmes. Il faut donc les doubler.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: mystogan le 24 mai 2016 à 18:38:12
De mémoire je n'arrivais pas à faire de SCP  ni de rsync vers mon serveur OVH sans ça:
for i in 0 1 2 3 4 5 6 7; do
## on définit pour chaque file une priorité
    vconfig set_egress_map eth0.832 $i $i >/dev/null
done

Mais par contre le SSH, le surf, le téléchargement, les tunnels openvpn pas de problèmes (quand même super bizarre ce problème de SCP et Google ne m'avais pas été d'un grand secours)
Du coup j'ai du faire exactement comme sur la page 1 et plus de problèmes.

Donc, Dario, je me demande, comme tu ne poses pas les egress, arrives-tu à faire du scp?


Pour le pare-feu IPV6 j'ai mis ça (je suis preneur de toute amélioration):
EXTIF --> interface d'entrée
LIVEBOX --> vers la Livebox
INTIF --> vers le Lan



/sbin/ip6tables -F INPUT
/sbin/ip6tables -F OUTPUT
/sbin/ip6tables -F FORWARD
/sbin/ip6tables -t mangle -F

/sbin/ip6tables -P OUTPUT ACCEPT
/sbin/ip6tables -P FORWARD DROP
/sbin/ip6tables -P INPUT DROP

/sbin/ip6tables -A INPUT -i lo -j ACCEPT
/sbin/ip6tables -A FORWARD -i lo -j ACCEPT
/sbin/ip6tables -A FORWARD -o lo -j ACCEPT
/sbin/ip6tables -A INPUT -i $INTIF -j ACCEPT
/sbin/ip6tables -A INPUT -i $LIVEBOX -j ACCEPT

/sbin/ip6tables -A INPUT -i $EXTIF -p tcp --dport 22 -j ACCEPT
#/sbin/ip6tables -A INPUT -i $EXTIF -p icmpv6 -j ACCEPT
/sbin/ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

/sbin/ip6tables -A INPUT -p icmpv6 -j ACCEPT
/sbin/ip6tables -A FORWARD -i $LIVEBOX -o $INTIF -j DROP
/sbin/ip6tables -A FORWARD -p icmpv6 -j ACCEPT


#Pour Dibbler
/sbin/ip6tables -A INPUT -i eth10.832 -p udp --dport 546 -j ACCEPT

/sbin/ip6tables -A FORWARD -p tcp -d IP6DUNEMACHINE --dport 22 -j ACCEPT
/sbin/ip6tables -A FORWARD -i $INTIF -o $EXTIF -j ACCEPT
/sbin/ip6tables -A FORWARD -i $LIVEBOX -o $EXTIF -j ACCEPT
/sbin/ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT



Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: dario le 24 mai 2016 à 21:14:41
renaud07, mystogan : merci pour vos conseils concernant le firewall IPv6 ! Un de ces 4 je m'en occupe :)

De mon côté je ne constate aucune limitation sur le trafic IPv6, y compris SCP.

Testé à l'instant :

$ scp image.iso [2001:4b98:dc0:47:216:3eff:fe36:8e34]:/tmp
spada@2001:4b98:dc0:47:216:3eff:fe36:8e34's password:
image.iso                                                                                                                         100%   43MB  43.5MB/s   00:01

Tu avais bien utilisé les crochets n'est-ce pas ? Ou sinon un domaine sans crochets bien sûr.

D'ailleurs, je ne sais pas quelle différence il y a entre des paquets SSH et des paquets SCP, pour moi c'est la même chose : même protocole, même port, etc.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: wade le 29 mai 2016 à 19:46:19
Bonjour dario,

Merci beaucoup pour ton tuto, il est bien fait.

Pourrais-tu m'indiquer si tu as fait exprès de laisser cette ligne du fichier /etc/network/interfaces toute seule :

iface eth0.832 inet6 manual
Parce que pour l'ipv4, tu précises des actions à effectuer au début et à la fin de la connexion (up dhclient -cf /etc/dhcp/dhclient.conf ........).

Je me pose cette question car grâce à tes explication j'arrive à faire marcher l'ipv4 mais pas l'ipv6.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 29 mai 2016 à 20:04:40
Bonjour dario,

Merci beaucoup pour ton tuto, il est bien fait.

Pourrais-tu m'indiquer si tu as fait exprès de laisser cette ligne du fichier /etc/network/interfaces toute seule :

iface eth0.832 inet6 manual
Parce que pour l'ipv4, tu précises des actions à effectuer au début et à la fin de la connexion (up dhclient -cf /etc/dhcp/dhclient.conf ........).

Je me pose cette question car grâce à tes explication j'arrive à faire marcher l'ipv4 mais pas l'ipv6.

y'a pas d'IPv6 'public' (on dit "globale" en IPv6) coté WAN donc on laisse en 'manual' juste pour avoir l'ipv6 par 'link local' (fe80::...).

La liaison IPv6 se fait comme suit:

LAN (1 block IPv6 /56 fourni par Orange ) -- routeur ou livebox --- wan (pas d'ipv6 global, trafic uniquement avec les link-local fe80..)--  ONT -- backbone Orange

coté lan en principe on découpe le /56 en morceaux suivant son besoin.
La livebox prend juste le 1er block de /64 du /56 et s'en sert pour configurer le lan (via radvd + dhcpv6) et se configure aussi une IPv6 public dans ce /64 (avec le méthode MacAddress -> Contained EUI-48 (U/L) (https://www.vultr.com/tools/mac-converter/)).
Quand on met son propre routeur on fait ce qu'on veut. Il faut juste s'assurer du routage sortant via RS/RA (mettre accept_ra=2 coté wan donc) ou manuellement sur "fe80::ba0:bab" (mais c'est pas "future proof").

Le block /56 est recu par DHCPv6-PD (prefix delegation) sur le port WAN ( donc dans /etc/dhcp/dhclient.conf ). Quand le block est recu on lance un script de configuration qui va configurer le lan (le plus simple: prendre le 1er /64 du /56 et configurer un radvd avec).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: wade le 29 mai 2016 à 21:05:06
Bonjour kgersen,

Merci d'essayer de me donner un coup de main. Cependant je ne comprends presque pas ton message  ;D

Voici un schéma de ce que je veux faire :

[ordinateur portable] -- [ONT] -- [backbone Orange]

Je n'ai qu'un seul ordinateur, et je voudrais le connecter à l'ONT sans utiliser de routeur ni de Livebox. Je n'ai donc pas besoin de "forwarder" du traffic d'une interface eth0 à une interface eth1. Par exemple, je sais que le paquet radvd est inutile dans mon cas.

y'a pas d'IPv6 'public' (on dit "globale" en IPv6) coté WAN donc on laisse en 'manual' juste pour avoir l'ipv6 par 'link local' (fe80::...).

Je ne sais pas ce que signifie 'link local' (fe80::....). Par contre je sais que j'ai besoin d'une ipv6 publique/globale (dans mon cas, le LAN et le WAN ne font qu'un). Penses-tu qu'il y a un moyen d'écrire le fichier /etc/network/manager pour faire fonctionner une configuration comme la mienne (je n'ai besoin que d'une adresse ipv6) ? Par exemple un truc dans le genre (j'ai ajouté un "6" après chaque occurrence de "dhclient") :

iface eth0.832 inet6 manual
    up dhclient6 -cf /etc/dhcp/dhclient6.conf -v -pf /var/run/dhclient6.vlan832.pid -lf /var/lib/dhcp/dhclient6.vlan832.leases eth0.832
    post-down dhclient6 -x -pf /var/run/dhclient6.vlan832.pid || true
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 29 mai 2016 à 22:10:14
ah ok pas vu que tu n'a pas de routeur.

ton cas est plus simple (encore que).

Je ne sais pas ce que signifie 'link local' (fe80::....).

Ce sont les adresses IPv6 automatiquement configurées sur les interfaces (il n'y  a pas d’équivalent en IPv4).
Un link local ne sert qu'au trafic local sur l'interface en question.
Je te conseille quand meme de lire les bases d'IPv6 avant de te lancer la dedans (la notion de link-local est un peu la base d'IPv6).

Dans ton cas , tu devrais déjà avoir un link-local sur ton interface ethernet et elle devrait pouvoir joindre l'équipement d'Orange qui est en face et qui a pour adresse "fe80::ba0:bab".

ip -6 addr show dev eth0.832devrait t'indiquer si t'as une link-local ou pas. si oui la 1ere étape est ok. sinon pas la peine d'aller plus loin.

Ensuite il faut faire un requête  dhcpv6 particulière: une demande de délégation de prefix. Ca ne fonctionne pas comme en IPv4 ou l'on recoit une IP affectable directement a l'interface. La on recoit tout un prefix (un /56).

conseil: en IPv6, oublie ce que tu connais en IPv4 et ne raisonne pas comme en IPv4 ca evite les boulettes.

Dans ton cas , tu doit prendre une ip dans ce prefix et l'affecter a ton interface

si tu reçoit:

2a01:aaaa:bbbb:ccc0::/56

tu peux utilisé "2a01:aaaa:bbbb:ccc0::1" par exemple

il y a donc 2 étapes: faire le demande via dhcpv6 et quand on reçoit le préfixe s'en servir pour configurer l'ip global de ton PC

prend le dhclient.conf (v6) de Dario d'ici: https://github.com/dario-spagnolo/ipv6-scripts, adaptes le a ton cas.

la suite c'est d'avoir un script qui sera appeler quand on recoit le prefix: ca se fait avec le hook "/etc/dhcp/dhclient-exit-hooks.d/ipv6-setup".

il faut adapter celui de Dario (fichier ipv6-setup) a ton cas: a savoir tu n'a qu'une interface et pas de routeur.

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 29 mai 2016 à 22:15:46
au vue du script (ipv6-setup), il te suffit dans "ipv6_prefix_dhclient.conf" de mettre eth0.832 comme valeur pour INT_FACE et EXT_FACE.
et de commenter la partie radvd dans "ipv6-setup" (lignes 75 a 86).


Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: wade le 30 mai 2016 à 00:34:25
Merci kgersen. Avec tes explications j'ai compris à quoi servent les scripts de dario.

Mais je pense que tu as raison, je vais d'abord me trouver un bouquin sur ipv6 et dhcp, je ramerai moins après.

Merci bien.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: SOSFR le 13 juin 2016 à 08:46:34
J'ai une petite question, tout ce bordel de DHCP non-standard est-il necessaire pour obtenir une connexion? Je veux dire, si on connait son IP et en admettant qu'elle n'a pas change entre temps, est ce que le simple fait de mettre cette IP sur l'interface WAN suffirait? Ou est-ce que le fait de faire la requete DHCP declenche quelque chose du cote Orange qui autorise l'acheminement du trafic jusqu'a la fibre du client?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 13 juin 2016 à 08:51:01
Je n'ai pas testé, mais je doute qu'Orange ait mis en place tout ce truc "non standard" pour l'authentification si c'est aussi simple à contourner. C'est pas franchement le genre de la maison...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: petrus le 13 juin 2016 à 09:38:28
J'ai une petite question, tout ce bordel de DHCP non-standard est-il necessaire pour obtenir une connexion? Je veux dire, si on connait son IP et en admettant qu'elle n'a pas change entre temps, est ce que le simple fait de mettre cette IP sur l'interface WAN suffirait? Ou est-ce que le fait de faire la requete DHCP declenche quelque chose du cote Orange qui autorise l'acheminement du trafic jusqu'a la fibre du client?

Non ça ne fonctionnerait pas. L'antispoofing se base sur les baux dhcp sur le dhcp relay. De plus, s'il n'y a pas de bail dhcp en cours, tu risques de voir ton ip être attribuée à un autre client.

Titre: ip6tables et préfixe dynamique
Posté par: zoc le 29 juillet 2016 à 09:47:32
Juste pour info, pour ceux qui veulent héberger des services en IPv6 avec nos préfixes "quasi statiques" et tout de même protéger leur réseau avec ip6tables, il est possible de matcher sur les suffixes, ce qui évite de devoir refaire les règles ip6tables à chaque fois que le préfixe change: http://blog.dupondje.be/?p=17

Sur EdgeOS, ça donne ça:
rule 4 {
     action accept
     description "Allow Submission and IMAP"
     destination {
         address ::a3a3:beff:fe89:93af/::ffff:ffff:ffff:ffff
         port 143,587
     }
     log disable
     protocol tcp
 }

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Je@nb le 29 juillet 2016 à 09:54:17
Yes j'avais vu un topic là dessus sur le forum de l'edgemax.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Etuldan le 31 juillet 2016 à 01:08:50
Bonjour/soir,

Je suis sous OpenWRT (CC), actuellement en PPPoE et aux dernières nouvelles quand j'avais encore ma Livebox d'active, l'IPv6 était fonctionnel chez moi.
Du coup, je me demande comment, le plus simplement possible, passer en DHCP pour profiter de tout ça, en gardant mon routeur sous OpenWRT.
J'ai vu qu'il faudrait potentiellement un client DHCP 'custom' (nommé dibbler), mais il n'est pas dans les 'dépots' de OpenWRT

A savoir pas besoin de téléphone ni de TV. Juste le net (donc en adressage Ipv4 et v6)
Titre: ip6tables et préfixe dynamique
Posté par: quack le 09 août 2016 à 23:12:42
Bon j'ai enfin terminé mon projet...
Mon but était de configurer un routeur debian dans la config ci-dessous, c'est à dire tout le net (IPv4 et IPv6) géré par le routeur debian, et la livebox derrière pour gérer TV et Téléphone.

(https://drive.google.com/uc?id=0B5ma-el6j-bDNFlNMl9CdF9NNEU)

Comme Dario, je n'ai pas eu à me prendre la tête avec la priorisation des paquets : les requêtes DHCP auprès d'Orange aboutissent chez moi immédiatement dès que je passe par le VLAN 832 et que je m'identifie correctement. C'est sacrément simplificateur dans les scripts.

Après ce que je voulais partager avec vous, car peut-être ça en aidera certains, c'est comment je gère mon subnet ipv6 et aussi le fichier de conf de isc-dhcp pour fournir un PD à la livebox.

Orange me délègue le prefix 2a01:cb15:7415:cf00::/56 (j'ai modifié un peu le début pour rester incognito ;))
-> Je donne une ip 2a01:cb15:7415:cfe0::1/64 à l'interface eth3.832 qui est connectée à la livebox (je sais pas pourquoi il faut forcément que le serveur DHCPv6 ait une IP)
-> Je donne un /60 à la livebox dans le range 2a01:cb15:7415:cf00:: à 2a01:cb15:7415:cfe0:: via un serveur isc-dhcp en ipv6-pd (cf le fichier de conf ci-dessous) (je sais, y'avait pas besoin d'en mettre autant dans le range mais je m'en fiche)

preferred-lifetime 86400;
default-lease-time 86400;
max-lease-time 86400;
authoritative;
log-facility local7;

option dhcp6.auth code 11 = string;
option dhcp6.auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;
option dhcp6.serveridentifier code 2 = string;
option dhcp6.serveridentifier 00:02:00:00:05:58:44:45:53:48:41:59:45:53:53:55:44:52:4f:54;

subnet6 2a01:cb15:7415:cfe0::/64 {
        prefix6 2a01:cb15:7415:cf00:: 2a01:cb15:7415:cfe0:: /60;
}

-> J'advertise le prefix 2a01:cb15:7415:cff0::/64 avec radvd pour les machines de mon lan

-> il me reste encore 15 subnet utilisables, et si besoin je peux en récupérer plein d'autre dans le range dhcp dédié livebox.


Ça fonctionne très bien, n'hésitez pas à demander si vous avez des questions.

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Nh3xus le 09 août 2016 à 23:34:56
Beau travail :)

J'ai bien quelques questions :

Comment gère tu le changement du préfixe /56 si ce dernier vient à bouger ? (au niveau de ton DHCPv6 et de ton module ip6tables notamment)

Pour la TV : vraiment toutes les fonctions marchent ? Replay, VOD et etc ?

Tu as quoi comme LB + Déco ? LB4 et Déco v4 ?

Merci pour ton post en tout cas.

Je trouve que l'on manque vraiment de documentation pour les conf avec des systèmes Linux dotés de systemd (comme Debian 8 par exemple).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: quack le 10 août 2016 à 10:24:18
Réponse du fainéant : le prefix en /56 ne change pas donc je ne gère pas. C'est officiel d'ailleurs, cf ce post : https://twitter.com/tsl0/status/736091839984340992


Réponse réelle : j'aime bien les choses bien faites donc je gère quand même. En fait ça n'a pas été compliqué car avant de mettre en place le serveur DHCPv6, j'ai mis en place radvd sur la base des scripts proposés par Dario qui géraient déjà le changement de préfixe et la génération dynamique du fichier radvd.conf (à partir d'un template radvd.conf.template). Du coup ça n'a pas été très compliqué de faire un copier/coller pour générer le fichier dhcpd6.conf. Puis j'ai créé le service isc-dhcp6 en copiant et modifiant le fichier /etc/init.d/isc-dhcp (c'est obligatoire car le démon dhcpd ne sait pas écouter à la fois IPv4 et IPv6, il faut 2 instances donc 2 services debian).

J'ai une livebox play v3 avec le décodeur V3. et je te confirme que tout fonctionne très bien, téléphone, TV, replay, VOD. Heureusement d'ailleurs, c'était le but en conservant la livebox pour la TV : ne prendre aucun risque. Je ne vois que des avantages à cette solution : beaucoup plus simple à mettre en oeuvre qu'un remplacement "total" de la livebox pour la TV, et aussi beaucoup plus simple à faire évoluer si jamais orange fait évoluer des choses.

Certes je pourrais creuser encore plus pour virer complètement la livebox en routant les vlan 838 et 840 mais quand je vois la complexité du bousin sur le post ubiquiti ERL ça me donne pas envie. Après il faudrait aussi gérer le téléphone avec siproxd, ça a pas l'air simple non plus et je sais que ça ne plait pas du tout à orange, donc tout ça combiné me fait dire que j'ai fait le bon choix en conservant la livebox.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Nh3xus le 10 août 2016 à 13:45:36
Tu as bien une Debian en version 8.X ?

Quand je vois que tu modifies des choses dans le répertoire
Citer
/etc/init.d
je me pose des questions.

Vu qu'avec systemd, cette méthode de gestion des services devient obsolète.

Merci.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: quack le 10 août 2016 à 14:01:29
ça fonctionne pourtant, et si tu veux savoir pourquoi c'est expliqué ici : http://unix.stackexchange.com/questions/233468/how-does-systemd-use-etc-init-d-scripts
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: quack le 12 août 2016 à 20:16:25
Après quelques tests rapide je confirme que mon i7 fait mieux que la livebox.
J'ai bien gagné, un peu en débit, et beaucoup en ping:

(https://www.speedtest.net/result/5548574245.png)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Florian le 13 août 2016 à 21:35:22
Tu obtiens ça même avec une Livebox...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Nico le 13 août 2016 à 21:49:13
Et la latence n'est pas forcement parfaite sur speedtest.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 13 août 2016 à 21:54:06
L'ERL et la Livebox ont en effet des performances réseau équivalentes (personnellement j'ai 1ms de moins avec l'ERL sur le smokeping lafibre.info). Ce n'est donc pas sur ce point que l'ERL se démarque de la box. Ses avantages sont ailleurs:
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: quack le 13 août 2016 à 23:07:22
Tu obtiens ça même avec une Livebox...

j'ai jamais eu 1ms avec ma livebox. Plutôt 3ms...
Bon après c'est pas 2ms qui changent la vie, mais c'est pour dire...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: quack le 13 août 2016 à 23:10:10
Et la latence n'est pas forcement parfaite sur speedtest.

1 ping c'est 1 ping. Si tu veux dire la latence est pas forcément "optimale" sur speedtest, alors là OK.
Mais dans mon exemple, il a pingé le serveur speedtest en 1ms (ou moins, mais pas plus).

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Nico le 13 août 2016 à 23:14:26
J'entendais que l'outil ne semble pas donner une réponse toujours fiable (a un moment c'était régulièrement 0ms qui sortait). Mieux vaut un ping à l'ancienne amha.
Titre: ip6tables et préfixe dynamique
Posté par: Nh3xus le 14 août 2016 à 04:03:44
Juste pour info, pour ceux qui veulent héberger des services en IPv6 avec nos préfixes "quasi statiques" et tout de même protéger leur réseau avec ip6tables, il est possible de matcher sur les suffixes, ce qui évite de devoir refaire les règles ip6tables à chaque fois que le préfixe change: http://blog.dupondje.be/?p=17

Sur EdgeOS, ça donne ça:
rule 4 {
     action accept
     description "Allow Submission and IMAP"
     destination {
         address ::a3a3:beff:fe89:93af/::ffff:ffff:ffff:ffff
         port 143,587
     }
     log disable
     protocol tcp
 }

Attention, cette astuce ne fonctionne pas telle qu'elle sous Windows car  il utilise par défaut les privacy extensions à la place de l'EUI-64, qui est jugé obsolète et non conforme aux contraintes relatives à la vie privée.

On peut toutefois réactiver ce comportement, si besoin est.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Je@nb le 13 septembre 2016 à 20:19:03
Quelqu'un a une capture réseau du boot d'une livebox en DHCP (et v6) et me le partagerai ?

J'ai l'engineering team Netgear en charge des routeurs qui voudrait voir comment c'est fait.
Je suis en déplacement jusqu'à la fin du mois donc je peux pas maniper chez moi ce genre de chose :/
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 13 septembre 2016 à 22:46:08
Quelqu'un a une capture réseau du boot d'une livebox en DHCP (et v6) et me le partagerai ?

J'ai l'engineering team Netgear en charge des routeurs qui voudrait voir comment c'est fait.
Je suis en déplacement jusqu'à la fin du mois donc je peux pas maniper chez moi ce genre de chose :/

j'avais posté ca dans ce meme sujet:
pour IPv4:  https://lafibre.info/remplacer-livebox/remplacer-la-livebox-sans-pppoe/msg320002/#msg320002

pour IPv6:

client -> Solicit
serveur -> Advertise
client ->Request
serveur->Reply

voici les détails:

Solicit:
Frame 305: 204 bytes on wire (1632 bits), 204 bytes captured (1632 bits) on interface 0
Ethernet II, Src: Sagemcom_93:xx:xx (00:37:b7:93:xx:xx), Dst: IPv6mcast_01:00:02 (33:33:00:01:00:02)
802.1Q Virtual LAN, PRI: 6, CFI: 0, ID: 832
Internet Protocol Version 6, Src: fe80::237:b7ff:fe93:xxxx, Dst: ff02::1:2
User Datagram Protocol, Src Port: 546 (546), Dst Port: 547 (547)
DHCPv6
    Message type: Solicit (1)
    Transaction ID: 0x04372a
    Client Identifier
        Option: Client Identifier (1)
        Length: 10
        Value: 000300010037b793xxxx
        DUID: 000300010037b793xxxx
        DUID Type: link-layer address (3)
        Hardware type: Ethernet (1)
        Link-layer address: 00:37:b7:93:xx:xx
    Option Request
        Option: Option Request (6)
        Length: 4
        Value: 000b0017
        Requested Option code: Authentication (11)
        Requested Option code: DNS recursive name server (23)
    Elapsed time
        Option: Elapsed time (8)
        Length: 2
        Value: 0508
        Elapsed time: 12880 ms
    Authentication
        Option: Authentication (11)
        Length: 22
        Value: 0000000000000000000000667469...
        Protocol: 0
        Algorithm: 0
        RDM: 0
        Replay Detection: 0000000000000000
        Authentication Information: 667469...
    User Class
        Option: User Class (15)
        Length: 45
        Value: 002b46535644534c5f6c697665626f782e496e7465726e65...
    Vendor Class
        Option: Vendor Class (16)
        Length: 11
        Value: 0000040e0005736167656d
        Enterprise ID: SAGEMCOM SAS  (1038)
        vendor-class-data: sagem
    Identity Association for Prefix Delegation
        Option: Identity Association for Prefix Delegation (25)
        Length: 12
        Value: b793xxxx00000e1000001518
        IAID: b793xxxx
        T1: 3600
        T2: 5400

Advertise :
Frame 306: 189 bytes on wire (1512 bits), 189 bytes captured (1512 bits) on interface 0
Ethernet II, Src: Alcatel-_dc:fc:eb (84:26:2b:dc:fc:eb), Dst: Sagemcom_93:xx:xx (00:37:b7:93:xx:xx)
802.1Q Virtual LAN, PRI: 7, CFI: 0, ID: 832
Internet Protocol Version 6, Src: fe80::ba0:bab, Dst: fe80::237:b7ff:fe93:xxxx
User Datagram Protocol, Src Port: 547 (547), Dst Port: 546 (546)
DHCPv6
    Message type: Advertise (2)
    Transaction ID: 0x04372a
    Identity Association for Prefix Delegation
        Option: Identity Association for Prefix Delegation (25)
        Length: 41
        Value: b793xxxx0000a8c000010e00001a00190001518000015180...
        IAID: b793xxxx
        T1: 43200
        T2: 69120
        IA Prefix
            Option: IA Prefix (26)
            Length: 25
            Value: 0001518000015180382a01cb0003f1410000000000000000...
            Preferred lifetime: 86400
            Valid lifetime: 86400
            Prefix length: 56
            Prefix address: 2a01:cb00:3f1:4100::
    Server Identifier
        Option: Server Identifier (2)
        Length: 20
        Value: 0002000005584445534841594553535544524f54
        DUID: 0002000005584445534841594553535544524f54
        DUID Type: assigned by vendor based on Enterprise number (2)
        Enterprise ID: France Telecom (1368)
        Identifier: 4445534841594553535544524f54
    Client Identifier
        Option: Client Identifier (1)
        Length: 10
        Value: 000300010037b793xxxx
        DUID: 000300010037b793xxxx
        DUID Type: link-layer address (3)
        Hardware type: Ethernet (1)
        Link-layer address: 00:37:b7:93:xx:xx
    Authentication
        Option: Authentication (11)
        Length: 27
        Value: 0000000000000000000000646863706c697665626f786672...
        Protocol: 0
        Algorithm: 0
        RDM: 0
        Replay Detection: 0000000000000000
        Authentication Information: 646863706c697665626f786672323530
    Preference
        Option: Preference (7)
        Length: 1
        Value: ff
        Pref-value: 255
Request:
Frame 307: 257 bytes on wire (2056 bits), 257 bytes captured (2056 bits) on interface 0
Ethernet II, Src: Sagemcom_93:xx:xx (00:37:b7:93:xx:xx), Dst: IPv6mcast_01:00:02 (33:33:00:01:00:02)
802.1Q Virtual LAN, PRI: 6, CFI: 0, ID: 832
Internet Protocol Version 6, Src: fe80::237:b7ff:fe93:xxxx, Dst: ff02::1:2
User Datagram Protocol, Src Port: 546 (546), Dst Port: 547 (547)
DHCPv6
    Message type: Request (3)
    Transaction ID: 0x0cbd86
    Client Identifier
        Option: Client Identifier (1)
        Length: 10
        Value: 000300010037b793xxxx
        DUID: 000300010037b793xxxx
        DUID Type: link-layer address (3)
        Hardware type: Ethernet (1)
        Link-layer address: 00:37:b7:93:xx:xx
    Server Identifier
        Option: Server Identifier (2)
        Length: 20
        Value: 0002000005584445534841594553535544524f54
        DUID: 0002000005584445534841594553535544524f54
        DUID Type: assigned by vendor based on Enterprise number (2)
        Enterprise ID: France Telecom (1368)
        Identifier: 4445534841594553535544524f54
    Option Request
        Option: Option Request (6)
        Length: 4
        Value: 000b0017
        Requested Option code: Authentication (11)
        Requested Option code: DNS recursive name server (23)
    Elapsed time
        Option: Elapsed time (8)
        Length: 2
        Value: 0000
        Elapsed time: 0 ms
    Authentication
        Option: Authentication (11)
        Length: 22
        Value: 0000000000000000000000667469..
        Protocol: 0
        Algorithm: 0
        RDM: 0
        Replay Detection: 0000000000000000
        Authentication Information: 667469..
    User Class
        Option: User Class (15)
        Length: 45
        Value: 002b46535644534c5f6c697665626f782e496e7465726e65...
    Vendor Class
        Option: Vendor Class (16)
        Length: 11
        Value: 0000040e0005736167656d
        Enterprise ID: SAGEMCOM SAS  (1038)
        vendor-class-data: sagem
    Identity Association for Prefix Delegation
        Option: Identity Association for Prefix Delegation (25)
        Length: 41
        Value: b793xxxx0000a8c000010e00001a00190001518000015180...
        IAID: b793xxxx
        T1: 43200
        T2: 69120
        IA Prefix
            Option: IA Prefix (26)
            Length: 25
            Value: 0001518000015180382a01...
            Preferred lifetime: 86400
            Valid lifetime: 86400
            Prefix length: 56
            Prefix address: 2a01:xxxx:xxxx:xxxx::

Reply:
Frame 319: 184 bytes on wire (1472 bits), 184 bytes captured (1472 bits) on interface 0
Ethernet II, Src: Alcatel-_dc:fc:eb (84:26:2b:dc:fc:eb), Dst: Sagemcom_93:xx:xx (00:37:b7:93:xx:xx)
802.1Q Virtual LAN, PRI: 7, CFI: 0, ID: 832
Internet Protocol Version 6, Src: fe80::ba0:bab, Dst: fe80::237:b7ff:fe93:xxxx
User Datagram Protocol, Src Port: 547 (547), Dst Port: 546 (546)
DHCPv6
    Message type: Reply (7)
    Transaction ID: 0x0cbd86
    Identity Association for Prefix Delegation
        Option: Identity Association for Prefix Delegation (25)
        Length: 41
        Value: b793xxxx0000a8c000010e00001a00190001518000015180...
        IAID: b793xxxx
        T1: 43200
        T2: 69120
        IA Prefix
            Option: IA Prefix (26)
            Length: 25
            Value: 0001518000015180382a01...
            Preferred lifetime: 86400
            Valid lifetime: 86400
            Prefix length: 56
            Prefix address: 2a01:xxxx:xxxx:xxxx::
    Server Identifier
        Option: Server Identifier (2)
        Length: 20
        Value: 0002000005584445534841594553535544524f54
        DUID: 0002000005584445534841594553535544524f54
        DUID Type: assigned by vendor based on Enterprise number (2)
        Enterprise ID: France Telecom (1368)
        Identifier: 4445534841594553535544524f54
    Client Identifier
        Option: Client Identifier (1)
        Length: 10
        Value: 000300010037b793xxxx
        DUID: 000300010037b793xxxx
        DUID Type: link-layer address (3)
        Hardware type: Ethernet (1)
        Link-layer address: 00:37:b7:93:xx:xx
    Authentication
        Option: Authentication (11)
        Length: 27
        Value: 0000000000000000000000646863706c697665626f786672...
        Protocol: 0
        Algorithm: 0
        RDM: 0
        Replay Detection: 0000000000000000
        Authentication Information: 646863706c697665626f786672323530
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Jean41 le 25 octobre 2016 à 07:35:43
Bonjour,

Est-ce que ce tutoriel est toujours d'actualité pour obtenir une IPv4 via DHCP avec OpenBSD ? Je n'ai pas besoin du tel ni de la tv. (Offre sosh fibre 200/100)

Si oui, comment procéder à partir d'une install basique de OpenBSD ? Je me débrouille sous gnu/linux mais alors BSD et les réseaux...  :( J'aime bien apprendre ceci dit.  8)

Je pense utiliser un vieux Thinkpad x200 Core 2 Duo P8600

avec 2 NIC Gigabit,

le premier Intel (interne) : sur ONT

le second Realtek (expresscard) : vers routeur tplink 1043nd (openwrt)

Merci d'avance !
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 25 octobre 2016 à 10:29:17
Bonjour Jean41,

Oui c'est toujours valable pour openbsd.
Tu dois modifier /etc/dhclient.conf avec les options qui vont bien & créer ton interface dans /etc/hostname.vlan832.
Reste à savoir si ta ligne a besoin des priorités...

Dam
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: petrus le 25 octobre 2016 à 11:53:07
OpenBSD pour l'install, tu bootes sur le medium de ton choix (cd, usb, netinstall), tu fais "suivant" jusqu'à ce qu'il te dise de rebooter. Et hop ça fonctionne avec des paramètres pas déconnants.

Il y a des petits changements par rapport à un linux, comme par exemple l'init -voir rc(8), mais ça d'une distrib à une autre en linux tu retrouves pas forcément les mêmes choses, donc bon...

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Jean41 le 25 octobre 2016 à 13:40:21
Merci à vous deux !

Je m'y mets dès que je rentre du boulot.

J'ai testé une install basique de OpenBSD dans une VM. En effet, c'est très rapide.  :o Faudra que je lise un peu de doc sur OpenBSD quand même.
En espérant que la carte realtek ne pose pas de problème. Sous gnu/linux, aucun problème, elle fonctionne d'emblée avec les dépôts libres. On va voir avec OpenBSD  8)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: fouinix le 05 novembre 2016 à 16:37:07
Certains ont testé avec du matériel mikrotik? Est-ce que vous êtes arrivé à faire marcher l'ipv6?
merci
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 13 novembre 2016 à 00:27:08
Bonsoir,

Bonne nouvelle pour les personnes utilisant OpenBSD comme moi.
Depuis la sortie d'OpenBSD 6 une option a été ajoutée à ifconfig "Added the llprio option in ifconfig  (http://man.openbsd.org/ifconfig.8)."
Maintenant un simple "ifconfig vlan832 llprio 6" permet de tagguer les packets dhcp & arp (entre autre).
Donc pour faire simple plus besoin de switch avec diffserv, la configuration est très simple.
Ma configuration ipv4/ipv6 & TV fonctionne très bien comme ça ;)

sources :
http://www.openbsd.org/60.html (http://www.openbsd.org/60.html)
http://man.openbsd.org/OpenBSD-6.0/man8/ifconfig.8 (http://man.openbsd.org/OpenBSD-6.0/man8/ifconfig.8)

Dam
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Je@nb le 13 novembre 2016 à 12:01:11
mais ça tag tout non ? Pas juste dhcp/arp ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 13 novembre 2016 à 13:08:54
mais ça tag tout non ? Pas juste dhcp/arp ?

non juste ce qui concerne la couche "link-layer" (en gros tout ce qui ne passe pas pf(4)).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 13 novembre 2016 à 18:38:04
non juste ce qui concerne la couche "link-layer" (en gros tout ce qui ne passe pas pf(4)).

Exactement :

In ifconfig (http://man.openbsd.org/ifconfig.8), add the "llprio" parameter to set the priority of packets that do not go through pf (http://man.openbsd.org/pf.4).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Nh3xus le 13 novembre 2016 à 19:07:05
Sous entendu, les raw sockets
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: y-master le 24 novembre 2016 à 23:10:42
Bonsoir,
Je début la configuration du routage de ma connexion fibre Orange sur une Debian 8 (dans un esxi).
La partie client DHCP pour le WAN fonctionne bien mais je galère pour la partie serveur dhcp destiné a la livebox.
J'ai dédié une interface physique à la liaison avec la LB, sur laquelle je monte mon vlan 832.

Je reçoit bien les requêtes DHCP de la LB, mon serveur répond bien, mais la LB ne prend pas l'adresse proposée.

Une idée de la raison ?

La conf de mon serveur DHCP est la suivante :
ddns-update-style none;
default-lease-time 3600;
max-lease-time 10080;
#authoritative;
log-facility local7;

option authsend code 90 = string;
option authsend 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:70:70:71:XX:XX:XX:XX;
option SIP code 120 = string;
option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;

subnet 192.168.1.0 netmask 255.255.255.0 {
    range 192.168.1.50 192.168.1.70;
    option subnet-mask 255.255.255.0;
    option broadcast-address 192.168.1.255;
    option routers 192.168.1.250;
    option domain-name-servers 192.168.1.250;
    option domain-name "home.local";
}

subnet 172.16.1.0 netmask 255.255.255.0 {
        range 172.16.1.2 172.16.1.10;
        option subnet-mask 255.255.255.0;
        option broadcast-address 172.16.1.255;

        host livebox {
                hardware ethernet 54:64:D9:3C:XX:XX;
                fixed-address 172.16.1.2;
                option routers 172.16.1.1;
                option domain-name-servers 81.253.149.1, 80.10.246.130;
        }
}

Et l'échange entre la LB et mon serveur :
22:07:55.026622 IP (tos 0xc0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 362)
    0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 54:64:d9:3c:xx:xx (oui Unknown), length 334, xid 0x54184b78, secs 13, Flags [Broadcast]
          Client-Ethernet-Address 54:64:d9:3c:xx:xx (oui Unknown)
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Discover
            Parameter-Request Option 55, length 11:
              Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
              BR, Lease-Time, RN, RB
              AUTH, Option 119, Option 120
            Vendor-Class Option 60, length 5: "sagem"
            CLASS Option 77, length 44: "+FSVDSL_livebox.Internet.softathome.Livebox3"
            AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.112.112.113.xxx.xxx.xxx.xx
22:07:55.026717 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 380)
    172.16.1.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length 352, xid 0x54184b78, secs 13, Flags [Broadcast]
          Your-IP 172.16.1.2
          Client-Ethernet-Address 54:64:d9:3c:xx:xx (oui Unknown)
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Offer
            Server-ID Option 54, length 4: 172.16.1.1
            Lease-Time Option 51, length 4: 3600
            Subnet-Mask Option 1, length 4: 255.255.255.0
            Default-Gateway Option 3, length 4: 172.16.1.1
            Domain-Name-Server Option 6, length 8: dns-adsl-gpe3-l.orange.fr,dns-adsl-gpe2-b.wanadoo.fr
            BR Option 28, length 4: 172.16.1.255
            AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.112.112.113.xxx.xxx.xxx.xx
            T120 Option 120, length 42: 6,29538,25460,13159,833,21826,1633,25443,25971,29457,28530,24942,26469,11629,30060,29801,28005,25705,24835,28261,29696
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dju le 03 décembre 2016 à 18:57:34
salut,

je viens de tester sur mon EdgeRouterLite (pour l'instant configuré en vlan 835/ppp) et ça marche (enfin... j'ai la connection, mais un débit ridicule  ;D)
donc pour faire mes tests (tout en manuel, juste pour tester la fonctionnalité  ;) )
- je désactive temporairement ppp et vlan 835
- je monte le vlan 832
- je récupere le dhclient3 patché
- je me fais un fichier temporaire pour la conf dhcp

option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
option rfc3118-authentication code 90 = string;
option user-class code 77 = string;
send vendor-class-identifier = "sagem";
send user-class  "+FSVDSL_livebox.Internet.softathome.Livebox3";
send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx; # les x cachent mon identifiant
request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-authentication;

- je mets l'egress qui va bien sur le vlan 832

#!/bin/bash
IF=eth1.832
for i in 0 1 2 3 4 5 6 7; do
    vconfig set_egress_map $IF $i $i >/dev/null
done
vconfig set_egress_map $IF 1 0 >/dev/null
vconfig set_egress_map $IF 0 6 >/dev/null


enfin je me lance :

./dhclient3 -4 -v -cf ./dhclient.832.conf


Et ca marche ! j'obtiens une IP, netmask, gateway, dns....
Je peux pinger, faire du ssh, wget, toussa :)
En faisant une résolution PTR de l'ip que j'ai eu (en 86.238.xxx.xxx), j'ai du LFbn-1-8980-xxx.wxx-xxx.abo.wanadoo.fr.
donc à priori IP statique (le PTR commence par L, et plus par A)

Du coup, je test mon débit en download :

wget -O /dev/null 2.testdebit.info/fichiers/1000Mo.dat


d'habitude, en vlan 835/ppp, j'ai du ~110 Mo/s
la, j'ai.... 2,9 Mo/s.  :-[

C'est du à quoi ?
il me semble que j'ai deja vu de tels problemes, mais j'arrive plus à retrouver :(
merci
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 03 décembre 2016 à 19:24:41
Tout ton traffic passe en priorité 6 là....

Ce qu'il faut faire, c'est mettre toutes les priorités à 0, sauf pour le skb 6 ou il fait mettre 6...
#!/bin/bash
IF=eth1.832
for i in 0 1 2 3 4 5 6 7; do
    vconfig set_egress_map $IF $i 0 >/dev/null
done
vconfig set_egress_map $IF 6 6 >/dev/null

Ou sinon avec un EdgeOS récent (1.7 minimum), dans les paramètres de l'interface eth1.832 :
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
(Attention il faudra rebooter après car ces paramètres ne sont pris en compte qu'à la création de l'interface au boot).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dju le 03 décembre 2016 à 19:28:45
ha, pb de priorités, alors.
(j'avais repris ces priorités en début de ce thread)
merci je vais tester ça :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dju le 03 décembre 2016 à 22:41:16
Ouf, c'est bon \o/
Donc mon ERL est (enfin) passé de PPP à DHCP.
Et comme il était en firmware 1.6, j'ai du modifier un fichier, /opt/vyatta/bin/sudo-users/vyatta-interfaces.pl, dans la fonction "dhcp_conf_header", pour lui ajouter les lignes "option ..." qui vont bien.
Et la ligne
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
dans le config.boot marche aussi pour le fw 1.6  8)
Au final, débit max en up/down, j'ai du gagner 1ms sur le ping :p, et mtu à 1500 au lieu de 1492, donc mieux !
merci pour toutes ces infos bien utiles  :)

edit: Ha par contre, j'ai pas touché au vlan 851, que j'avais pour le tel (j'ai la livebox derriere l'ERL), et le tel marche toujours.
lorsque j'appelle mon tel (branché sur la LB) et que je lance un tcpdump, je vois bien des paquets SIP passer dans ce vlan.
donc, je vais laisser comme ça pour l'instant :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 04 décembre 2016 à 18:49:37
Salut Tous,
nouveau venu sur le forum je vais tenter l'expérience du remplacement de la vivreboîte par un pc linux.
Je vais me lancer en m'appuyant sur le tuto de dario (que je remercie au passage) qui est une super synthèse de tout ce que j'ai pu lire (page 1 jusqu'au message de dario ;) )

Mon idée:
Réseau Orange <-> ONT <-> ma boîte <-> LAN+Wifi (ipv4+ipv6)

J'espère aussi que ma boîte pourra remplacer:
Le téléphone (sip sur mobile android)
La TV (kodi+un soft (tvheadend)) <-- grosse incertitude

pour le hotspot wifi c'est pas un souci hostapd modifié est notre ami.

Déjà un grand merci à tous.
@Dam64 je n'ai pas vu ta config passer comme tu l'avais dis ;) (aussi je me suis arrêté ici pour l'instant)

ps: il y a longtemps (époque de la raie verte) j'avais remplacé le dit poisson, mais beaucoup de chose on changé à part certains vlan.








Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dam64 le 04 décembre 2016 à 19:23:01
Oups effectivement, il faut que je la retrouve...  :D
Étant passé sous OpenBSD entre temps j'avais un peu zappé
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 04 décembre 2016 à 20:08:09
La TV (kodi+un soft (tvheadend)) <-- grosse incertitude
+ oscam plus un lecteur de carte...

Possible uniquement avec de TRES vieilles cartes Viaccess (obtenue il y a plus de 2 ans grosso modo).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 04 décembre 2016 à 21:43:14
Bon eh bien je crois que je n'y suis pas encore à la TV :-D

Je configure comme a dit dario + l'egress + le post routing et là je me dis c'est parti mon kiki "ifup"

=>ifup vlan832                                                                               
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 832 to IF -:eth0:-
Internet Systems Consortium DHCP Client 4.3.3
Copyright 2004-2015 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/vlan832/00:23:56:3c:92:34
Sending on   LPF/vlan832/00:23:56:3c:92:34
Sending on   Socket/fallback
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 3 (xid=0xac8fbc1e)
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 5 (xid=0xac8fbc1e)
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 6 (xid=0xac8fbc1e)
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 11 (xid=0xac8fbc1e)
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 15 (xid=0xac8fbc1e)
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 18 (xid=0xac8fbc1e)
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 18 (xid=0xac8fbc1e)

Hmm c'est long, trop long... un petit dump car je me dis c'est le tos il est mal mis alors je regarde le petit dump, et la déception il est bien à 0x10 (prio 6)  :'(

20:59:07.588942 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 359)
    0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from 00:23:56:3c:92:34, length 331, xid 0xac8fbc1e, secs 3, Flags [none] (0x0000)
    Client-Ethernet-Address 00:23:56:3c:92:34
    Vendor-rfc1048 Extensions
      Magic Cookie 0x63825363
      DHCP-Message Option 53, length 1: Discover
      Parameter-Request Option 55, length 8:
        Subnet-Mask, Default-Gateway, Domain-Name, BR
        Lease-Time, RN, RB, AUTH
      AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.x.x.x.x.x.x.x
      Vendor-Class Option 60, length 5: "sagem"
      User-Class Option 77, length 44:
        instance#1: "FSVDSL_livebox.Internet.softathome.Livebox3", length 43
20:59:12.756477 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 359)
    0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from 00:23:56:3c:92:34, length 331, xid 0xac8fbc1e, secs 8, Flags [none] (0x0000)
    Client-Ethernet-Address 00:23:56:3c:92:34
    Vendor-rfc1048 Extensions
      Magic Cookie 0x63825363
      DHCP-Message Option 53, length 1: Discover
      Parameter-Request Option 55, length 8:
        Subnet-Mask, Default-Gateway, Domain-Name, BR
        Lease-Time, RN, RB, AUTH
      AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.x.x.x.x.x.x.x
      Vendor-Class Option 60, length 5: "sagem"
      User-Class Option 77, length 44:
        instance#1: "FSVDSL_livebox.Internet.softathome.Livebox3", length 43

Peut-être que de l'autre côté je n'ai pas de serveur dhcp ?
Une idée ? :)


Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dju le 04 décembre 2016 à 21:56:10
hello
il est possible que le DHCP ne soit pas encore déployé dans ta region.
Sinon y'a aussi le PPP, qui lui marche partout :)
Pour faire un test simple, rebranche ta livebox, puis vas sur je ne sais plus quelle page dans l'interface web de la LB, affichant les propriétés de la connexion reseau.
La, c'est affiché dhcp ou ppp, et le vlan utilisé (832 / 835).
J'ai vu l'adresse de cette page quelque part sur ce topic... ou un autre à coté   ::)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dju le 04 décembre 2016 à 22:01:00
ha voila, j'ai retrouvé :
En 1er, il faut que tu sois certain que ton abo Orange ait migré en  DHCP+IPv6. Un moyen simple de vérifier est de rebrancher la livebox, forcer une maj si elle n'est pas jour et voir comment elle se connecte ( page d'info sur la connexion de la livebox http://192.168.1.1/supportSystemInformationInternet.html ).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 04 décembre 2016 à 22:08:54
Salut,
j'ai l'impression que je suis en dhcp (ipv6 j'en suis sûr)

2.6 statut de la connexion PPP
2.7 statut du compte actif
2.8 PPP nom d'utilisateur
2.9 PPP mode d'authentification Auto
2.10 PPP dernière connexion
2.11 PPP durée de la connexion
2.12 PPP type du protocol
2.13 PPP error de la dernière connexion
2.14 PPP date de la dernière déconnexion
2.15 VLAN 832
2.16 mode DHCP
2.17 encapsulation 802.1q
2.18 chemin de donnée Fast

Mais il ne faut pas envoyé un mdp qui va avec le fti/* ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 04 décembre 2016 à 22:10:42
ha voila, j'ai retrouvé :

Merci :-) Elle était déjà bookmarké pour aller plus vite :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 04 décembre 2016 à 22:13:48
J'ajoute une petite trace plus verbeuse:
=>ifup vlan832
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 832 to IF -:eth0:-
+ case $MODE in
+ '[' post-up == post-up ']'
+ '[' vlan832 == vlan832 ']'
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 0 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 1 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 2 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 3 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 4 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 5 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 6 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 7 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ /sbin/vconfig set_egress_map vlan832 6 6
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
Internet Systems Consortium DHCP Client 4.3.3
Copyright 2004-2015 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/vlan832/00:23:56:3c:92:34
Sending on   LPF/vlan832/00:23:56:3c:92:34
Sending on   Socket/fallback
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 3 (xid=0x7d8fdd39)
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 3 (xid=0x7d8fdd39)

Iptables:
*nat
-A POSTROUTING -j MASQUERADE -o vlan832
COMMIT

*mangle
## Tout les protocoles changent de file vers le skb 01 dont on a mis la prio à 0
-A POSTROUTING -o vlan832 -j CLASSIFY --set-class 0000:0001
##On maintient les paquets réseaux dans une file à prio 6
-A POSTROUTING -o vlan832 -p igmp -j CLASSIFY --set-class 0000:0006
-A POSTROUTING -o vlan832 -p icmp -j CLASSIFY --set-class 0000:0006
##Les paquets VOIP(téléphonie orange) sont taggués EF ont les met en prio 5
-A POSTROUTING -o vlan832 -m dscp --dscp 0x2e -j CLASSIFY --set-class 0000:0005
##Si votre client DHCP n'utilise pas les raw socket il faut envoyer les paquet DHCP dans la file 6 (prio 6)
-A POSTROUTING -o vlan832 -p udp --dport 67 -j CLASSIFY --set-class 0000:0006
COMMIT

Si quelqu'un a une idée ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dju le 04 décembre 2016 à 22:23:03
y'a peut etre quelque chose qui cloche dans les options DHCP envoyées ?
faut voir ce que tu as dans /etc/dhclient.conf
Pour l'identifiant/pass, il n'y a plus le password, juste la partie du login apres fti/ en hexa.
IL me semble que sans les bonnes options, le dhcp coté orange ne répond pas

Pour les priorités, faut voir. certains comme moi ont absoilument besoin de mettre la prio à 6, d'autres non. ptêt essayer de les mettre comme en page 1 de ce topic ?

edit: au pire, le mieux est de faire une capture entre la livebox et l'ONT pour voir ce qu'elle emet en DHCP, et ainsi reproduire la séquence.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: JeannotPlanche le 04 décembre 2016 à 22:41:30
Ton interface s'appelle 832 tout court et pas ethbidule.832. Tu as bien créé le VLAN ?

Edit :
Added VLAN with VID == 832 to IF -:eth0:-
euh, oui, on dirait, en fait

C'est un Linux "brut" ou une VM, autre chose ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 04 décembre 2016 à 22:55:50
C'est un linux brut je ne sais pas il est doux et mignon ;)

le fichier dhclient

=>cat /etc/dhcp/dhclient-vlan832.conf
interface "vlan832" {
        send vendor-class-identifier "sagem";
        #send dhcp-client-identifier xx:xx:xx:xx:xx:xx;
        send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
        send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:x:x:x:x:x:x:x;
        request subnet-mask, routers,
                domain-name, broadcast-address, dhcp-lease-time,
                dhcp-renewal-time, dhcp-rebinding-time,
                rfc3118-authentication;
        prepend domain-name-servers 8.8.8.8, 8.8.4.4;
}


Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 05 décembre 2016 à 03:41:48
Ouf !
il faut bien switcher la prio avec vconfig.

=>./speedtest_cli.py
Retrieving speedtest.net configuration...
Retrieving speedtest.net server list...
Testing from Orange (X.X.X.X)...
Selecting best server based on latency...
Hosted by Old-Linux.com (-----) [22.93 km]: 32.397 ms
Testing download speed........................................
Download: 269.47 Mbit/s
Testing upload speed..................................................
Upload: 76.82 Mbit/s

Merci à tous.

Je ferais un petit récapitulatif demain :-)


Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: petrus le 05 décembre 2016 à 09:35:26
il est possible que le DHCP ne soit pas encore déployé dans ta region.

Non. Le dhcp est déployé partout en France metropolitaine - corse exclue pour l'instant.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dju le 05 décembre 2016 à 20:00:25
@pci cool ! une boite noire en moins  :P

@petrus ha, bon à savoir, merci. donc n'importe qui en ftth orange peut désormais se connecter en dhcp ? ou c'est conditionné par d'autres trucs ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 05 décembre 2016 à 20:06:39
n'importe qui en ftth orange peut désormais se connecter en dhcp ? ou c'est conditionné par d'autres trucs ?
Il ne faut pas avoir d'option IP fixe.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Dju le 05 décembre 2016 à 20:11:21
ha, pour les offres pro donc. ip fixe = ppp obligatoire. grmmf.  :'(
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: petrus le 05 décembre 2016 à 20:27:03
ha, pour les offres pro donc. ip fixe = ppp obligatoire. grmmf.  :'(

Pour l'instant.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 05 décembre 2016 à 22:29:36
@pci cool ! une boite noire en moins  :P

@petrus ha, bon à savoir, merci. donc n'importe qui en ftth orange peut désormais se connecter en dhcp ? ou c'est conditionné par d'autres trucs ?

Merci :)
Maintenant je m'attache à monter tout ce qui va derrière :)
Je vais packager tout ce *del dans un script avec un joli interface dialog genre tu saisis ton fti/* + l'interface qui va se plugger sur l'ONT

Je suis sur une ubuntu je fais du ifup/ifdown pour l'instance ça marche nickel mais je vais faire en sorte de pouvoir switcher facilement de conf réseau si je dois rebrancher la bête noire le temps des manips.

Ma boiboite dans le salon fait déjà dns+dhcp+gw
et c'est étrange je n'ai plus ce fichu (je reste soft) pb de "loopback" :-) mais va falloir que je refasse un coup de let's encrypt du coup :)

Je n'ai pas encore mis l'ipv6.


Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 07 décembre 2016 à 20:22:13
Salut,
je n'ai pas trouvé comment configurer le vlan 840, quelqu'un aurait-il une idée ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 07 décembre 2016 à 21:18:04
Salut,
je n'ai pas trouvé comment configurer le vlan 840, quelqu'un aurait-il une idée ?

y'a pas grand chose a configurer. faut juste creer les interfaces vlan 840 sur chaque interface physique ( la wan et la lan) puis configurer igmpproxy comme il faut (upstream et downstream, cf doc igmpproxy).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 07 décembre 2016 à 23:24:16
Salut,

J'ai de up:
838 avec une ip+dhcp en 10.*
840 avec une ip static (192.168.4.254)

j'ai aussi le 851 (10.*) de up avec tout ce qui va bien de compilé pour l'utiliser mais je m'y attelerai plus tard

Donc est-ce que pour avoir de l'IPTV 838+840 ça suffit ?
Je ne pense pas avoir besoin de l'igmpproxy dans la mesure ou mon htpc fait aussi office de box/router/wifi
Et du coup la route multicast je la mets sur le 840 ?



Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 08 décembre 2016 à 19:53:12
Salut,

J'ai de up:
838 avec une ip+dhcp en 10.*
840 avec une ip static (192.168.4.254)

j'ai aussi le 851 (10.*) de up avec tout ce qui va bien de compilé pour l'utiliser mais je m'y attelerai plus tard

Donc est-ce que pour avoir de l'IPTV 838+840 ça suffit ?
Je ne pense pas avoir besoin de l'igmpproxy dans la mesure ou mon htpc fait aussi office de box/router/wifi
Et du coup la route multicast je la mets sur le 840 ?

il faut igmpproxy si tu ne bridge pas...

il faut comprendre comment marche l'IPTV:

-le décodeur TV envoi une requete IGMP sur le lan, ta box/routeur doit le fait suivre sur le wan vlan 840 pour que la demande arrive chez Orange.
-le serveur video chez Orange envoi le flux en multicast sur le vlan 840. Ca arrive donc sur ta box/routeur qui doit le router vers la bonne interface (port ethernet LAN donc et surtout pas le wifi). Pour ca ca se regle dans la conf IGMP downstream.

Google igmp+ubuntu ou linux tu trouveras de la doc. Il se peut aussi qu'on ai déjà expliqué cela dans ces forums (recherche igmp dans le forum, il me semble qu'il y a des configs avec linux).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 08 décembre 2016 à 23:04:43
Merci kgersen pour les infos.
Mais je galère toujours un petit peu :)

Le bridge se monte bien avec l'ip attrappée sur le 838 je l'ai appellé "video":
=>ifup video
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 838 to IF -:eth1:-
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 840 to IF -:eth1:-

Waiting for video to get ready (MAXWAIT is 32 seconds).
+ evlan=eth1.838
+ vlan=838
+ case $MODE in
+ '[' video == eth1.838 ']'
+ '[' video == video ']'
+ case $PHASE in
+ case $vlan in
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 0 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 1 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 2 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 3 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 4 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 5 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 6 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 7 4
+ '[' 838 == 838 ']'
+ ebtables -F
+ ebtables -t filter -A FORWARD -o video -d ff:ff:ff:ff:ff:ff/ff:ff:ff:ff:ff:ff -j ACCEPT
+ ebtables -t filter -A FORWARD -o video -d 01:00:00:00:00:00/01:00:00:00:00:00 -j DROP
+ evlan=eth1.840
+ vlan=840
+ case $MODE in
+ '[' video == eth1.840 ']'
+ '[' video == video ']'
+ case $PHASE in
+ case $vlan in
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 0 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 1 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 2 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 3 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 4 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 5 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 6 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 7 4
Internet Systems Consortium DHCP Client 4.3.3
Copyright 2004-2015 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Listening on LPF/video/00:50:62:20:04:1f
Sending on   LPF/video/00:50:62:20:04:1f
Sending on   Socket/fallback
DHCPREQUEST of 10.X.Y.Z on video to 255.255.255.255 port 67 (xid=0x143ba4c2)
DHCPACK of 10.X.Y.Z from 10.138.99.254
bound to 10.X.Y.Z -- renewal in 39478 seconds.

Mais mon igmpproxy on dirait qu'il ne veut pas:
=>ip route add 224.0.0.0/4 dev video

=>./sbin/igmpproxy -dd -v ./etc/igmpproxy.conf

adding VIF, Ix 0 Fl 0x0 IP 0x0102a8c0 em1, Threshold: 1, Ratelimit: 0
RECV V2 member report   from 10.138.99.1     to 224.0.0.251
The IGMP message was from myself. Ignoring.
RECV V2 member report   from 10.138.99.1     to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV Membership query   from 10.138.99.1adding VIF, Ix 1 Fl 0x0 IP 0x01638a0a video, Threshold: 1, Ratelimit: 0
     to 224.0.0.1joinMcGroup: 224.0.0.2 on video
joinMcGroup: 224.0.0.22 on video
RECV Membership query   from 10.X.Y.Y     to 224.0.0.1
RECV V2 member report   from 10.X.Y.Z     to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV V2 member report   from 10.X.Y.Z     to 224.0.0.22
The IGMP message was from myself. Ignoring.
RECV V2 member report   from 10.X.Y.Z     to 224.0.0.251
The IGMP message was from myself. Ignoring.
RECV Membership query   from 10.X.Y.Z     to 224.0.0.1
RECV V2 member report   from 10.X.Y.Z     to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV V2 member report   from 10.X.Y.Z     to 224.0.0.22
The IGMP message was from myself. Ignoring.
RECV Membership query   from 10.X.Y.Z     to 224.0.0.1
RECV V2 member report   from 10.X.Y.Z     to 224.0.0.22
The IGMP message was from myself. Ignoring.
RECV V2 member report   from 10.X.Y.Z     to 224.0.0.251
The IGMP message was from myself. Ignoring.
RECV V2 member report   from 10.X.Y.Z     to 224.0.0.2
The IGMP message was from myself. Ignoring.

^Cselect() failure; Errno(4): Interrupted system call
Got a interupt signal. Exiting.
All routes removed. Routing table is empty.
Shutdown complete....

la conf igmpproxy:
quickleave
phyint video downstream ratelimit 0 threshold 1
   altnet 0.0.0.0/0

phyint em1 upstream ratelimit 0 threshold 1
   altnet 0.0.0.0/0

phyint wlan0 disabled
phyint eth0 disabled

et un ip mroute me dit:
=>ip mroute
(192.168.2.11, 239.255.255.250)  Iif: unresolved

Je dois avouer être un peu largué :)
ps: j'ai bien lu les posts de c0mm0n ça me fait rêver :)

pour mémoire je ne compte pas mettre le décodeur tv derrière mais un tvheadend+kodi (je n'ai pas besoin de vod ou de replay pour l'instant ;) )

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: renaud07 le 09 décembre 2016 à 04:06:51
@pci : Tu as mis le bridge en downstream et em1 (le lan) en upstream. C'est l'inverse. C'est le Lan en down et le bridge en up. Ensuite, il ne vaut mieux pas faire de bridge entre le 838 et le 840, ça ne sert à rien et nuit aux performances. Fais ta requête DHCP uniquement sur le 838 et donne une ip quelconque à 840, par exemple 192.168.255.254/24

Tu dois seulement déclarer le 840 dans igmpproxy. Et mettre l'ip du lan à la place de 0.0.0.0/0 pour altnet pour le downstream par exemple 192.168.1.0/24 Pour le vlan  840 je ne suis pas sûr s'il faut mettre les 81, 172, 80 et 193.0.0.0/8) essaies sans il me semble que ce n'est pas indispensable (je reprends la config pfsense pour info).

Et te passer du décodeur TV, tu vas avoir du mal avec les chaînes chiffrées, à part comme l'a dit zoc si tu as une vieille carte viaccess et un lecteur.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 09 décembre 2016 à 10:35:20
Salut,
merci pour les infos.
J'ai essayé tes précos mais pas mieux (j'ai bien pris soin de désactivé mes rules de sécurité iptables en laissant celles qui fixe les prio)
Autant pimd que igmproxy me disent fume mon coco.

nouvelle conf igmpproxy:
quickleave

phyint eth1.840 upstream ratelimit 0 threshold 1
   altnet 0.0.0.0/0

phyint em1 downstream ratelimit 0 threshold 1
   altnet 0.0.0.0/0

phyint eth2 disabled
phyint wlan0 disabled
phyint eth0 disabled

conf pimd
phyint eth1.840 enable igmpv2
phyint eth1.838 enable igmpv2
phyint eth0 disable
phyint em1 disable
phyint wlan0 disable

igmp-query-interval  12
igmp-querier-timeout 42

bsr-candidate priority 5

rp-candidate time 30 priority 20

spt-threshold packets 0 interval 100

J'ai essayé d'ajouter une route multicast sur eth1.840 mais rien:
ip route add 224.0.0.0/4 dev eth1.840

Je dois louper un truc...

prio à 4 sur eth1.838
prio à 5 sur eth1.840

A vot' bon coeur M'sieurs/Dam' :-)

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: renaud07 le 09 décembre 2016 à 16:23:17
Je vois que tu as em1 en interface, hors cette notation se retrouve surtout sur les BSD (comme pfsense). Es-tu bien sûr d'avoir une interface qui s’appelle em1 ? Ça me parait étrange. Un retour de if config serait le bienvenue. Ce serait plutôt eth0 au vu de ta config si eth1 est le wan.

Le DHCP se fait bien sur le 838 seul ? Si c'est ok, essaies sans ajouter la route multicast. Les prios sont bonnes.

De plus tu n'as pas mis l'ip du lan dans la config d'igmpproxy. Je verrais plus un truc comme ça :

quickleave

phyint eth1.840 upstream ratelimit 0 threshold 1
   altnet 0.0.0.0/0

phyint eth0 downstream ratelimit 0 threshold 1
   altnet 192.168.1.0/24

phyint eth2 disabled
phyint wlan0 disabled

Pour pimd
phyint eth1.840 enable igmpv2
phyint eth1.838 disable
phyint eth0 igmpv2

phyint wlan0 disable

igmp-query-interval  12
igmp-querier-timeout 42

bsr-candidate priority 5

rp-candidate time 30 priority 20

spt-threshold packets 0 interval 100
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 09 décembre 2016 à 16:26:49
De plus tu n'as pas mis l'ip du lan dans la config d'igmpproxy. Je verrais plus un truc comme ça :
Je ne l'ai pas dans la config de mon igmpproxy et ça fonctionne quand même.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: renaud07 le 09 décembre 2016 à 16:33:57
Je ne l'ai pas dans la config de mon igmpproxy et ça fonctionne quand même.

Du coup si ça n'a pas d'importance, je verrais bien un simple problème d’interface.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 09 décembre 2016 à 17:22:58
Au passage encore merci, rien que moralement ça aide :)

En ce qui concerne em1 j'ai aussi était étonné mais c'est le renommage "ubuntu/udev" qui veut ça je l'ai laissé comme ça du coup :)

J'ai utilisé pimd pour ce test avec la conf pimd suivante:

phyint eth1.840 enable igmpv2
phyint eth1.838 disable
phyint eth0 disable
phyint em1 igmpv2
phyint wlan0 disable

igmp-query-interval  12
igmp-querier-timeout 42
bsr-candidate priority 5

rp-candidate time 30 priority 20

spt-threshold packets 0 interval 100


et le ifconfig:
em1       Link encap:Ethernet  HWaddr aa:bb:cc:e9:4f:53 
          inet adr:192.168.2.1  Bcast:192.168.2.255  Masque:255.255.255.0
          adr inet6: fe80::a2b3:ccff:fee9:4f53/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:260258 erreurs:0 :2 overruns:0 frame:0
          TX packets:349786 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          Octets reçus:55621364 (55.6 MB) Octets transmis:218163713 (218.1 MB)
          Interruption:18

eth1      Link encap:Ethernet  HWaddr aa:bb:cc:20:04:1f 
          UP BROADCAST RUNNING PROMISC MULTICAST  MTU:1500  Metric:1
          Packets reçus:421864 erreurs:0 :0 overruns:0 frame:0
          TX packets:2187727 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          Octets reçus:264281464 (264.2 MB) Octets transmis:2506182925 (2.5 GB)

eth1.832  Link encap:Ethernet  HWaddr aa:bb:cc:20:04:1f 
          inet adr:90.116.177.53  Bcast:90.116.183.255  Masque:255.255.248.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:290597 erreurs:0 :0 overruns:0 frame:0
          TX packets:1847937 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          Octets reçus:202084639 (202.0 MB) Octets transmis:2213020044 (2.2 GB)

eth1.838  Link encap:Ethernet  HWaddr aa:bb:cc:20:04:1f 
          inet adr:10.X.Y.1  Bcast:10.X.Y.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:1 erreurs:0 :0 overruns:0 frame:0
          TX packets:13019 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          Octets reçus:397 (397.0 B) Octets transmis:2189190 (2.1 MB)

eth1.840  Link encap:Ethernet  HWaddr aa:bb:cc:20:04:1f 
          inet adr:192.168.255.254  Bcast:192.168.255.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:680 erreurs:0 :0 overruns:0 frame:0
          TX packets:13120 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          Octets reçus:31280 (31.2 KB) Octets transmis:2167133 (2.1 MB)

lo        Link encap:Boucle locale 
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          Packets reçus:17171 erreurs:0 :0 overruns:0 frame:0
          TX packets:17171 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1
          Octets reçus:8503978 (8.5 MB) Octets transmis:8503978 (8.5 MB)

pimreg    Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00 
          UP RUNNING NOARP  MTU:1472  Metric:1
          Packets reçus:0 erreurs:0 :0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1
          Octets reçus:0 (0.0 B) Octets transmis:0 (0.0 B)

wlan0     Link encap:Ethernet  HWaddr aa:bb:cc:dd:ee:ff 
          inet adr:172.16.0.1  Bcast:172.16.0.255  Masque:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          Packets reçus:77886 erreurs:0 :0 overruns:0 frame:0
          TX packets:130320 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          Octets reçus:28721818 (28.7 MB) Octets transmis:110733978 (110.7 MB)


Alors voilà ce que me dit la bête:
=>ip route
224.0.0.0/4 dev eth1.840  scope link

=>ip mroute
(192.168.2.100, 239.255.255.250) Iif: em1       
(192.168.2.11, 239.255.255.250)  Iif: em1       
(192.168.2.4, 239.255.255.250)   Iif: em1       
(192.168.2.30, 239.255.255.250)  Iif: em1       
(192.168.2.1, 239.255.255.250)   Iif: em1       

J'ai l'impression que ça sent bon non ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: renaud07 le 09 décembre 2016 à 17:31:31
Oui ça a l'air de sentir bon. Pour le savoir il faudrait que zoc ou autre te fournisse une adresse d'une chaîne non chiffrée et vérifier que ça fonctionne sur vlc par exemple.

Pour la mise en place avec kodi/tvheadend, je laisse la main. Enfin, j'ai bien une clé TNT avec tvheadend, mais ce  n'est pas tout à fait la même complexité.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 09 décembre 2016 à 17:33:01
Oui ça a l'air de sentir bon. Pour le savoir il faudrait que zoc ou autre te fournisse une adresse d'une chaîne non chiffrée
Il n'y en a plus je crois, même les chaines de la TNT le sont...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: renaud07 le 09 décembre 2016 à 17:41:48
Il n'y en a plus je crois, même les chaines de la TNT le sont...

C'est vraiment pas cool ça. Il faudra qu'on m'explique l’intérêt de chiffrer les chaînes sur l'ADSL/VDSL/fibre alors qu'elles sont en clair sur la TNT... Même remarque avec le système d'enregistrement des TV.

C'est bien pour ça que je n'ai pas pris d'offre avec la TV, alors qu'avec un décodeur TNT à 20 € on peut faire ce qu'on veut... A croire que c'est juste pour le plaisir de pigeonner les clients.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 09 décembre 2016 à 17:46:15
S'il veut essayer quand même:
232.0.3.2 : France 2 HD+
232.0.3.3 : M6 HD+

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 09 décembre 2016 à 17:48:29
Euh ? ça veut dire que j'ai fait tout ça pour rien :-D
:-D
Le port c'est 8200 ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 09 décembre 2016 à 17:50:40
Je te l'avais dit dés le départ  ;D

Oui, le port c'est 8200
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: renaud07 le 09 décembre 2016 à 17:56:41
Euh ? ça veut dire que j'ai fait tout ça pour rien :-D
:-D
Le port c'est 8200 ?

Si tout est effectivement chiffré : décodeur d'Orange obligatoire. Tu n'as pas fait le paramétrage pour rien, mais tu ne pourras juste pas t'en servir avec kodi.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 09 décembre 2016 à 18:40:08
Bon bé c'est bali balo :) Je vais me reposer :-) (ou brancher mon dongle usb dvb ;-) )
Tiens je vais faire le petit script de setup de tout ça ça va me détendre :-)

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: quack le 09 décembre 2016 à 20:26:26
Tu peux utiliser un lecteur de carte et un logiciel pour enlever les DRM.
Par contre il te faut une carte en 333. Tu peux utiliser n'importe quelle carte car les "droits" pour les chaines gratuites de la TNT n'expirent jamais sur ces cartes.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 09 décembre 2016 à 21:00:33
335  :'(

Merci pour l'info qd même ;)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 09 décembre 2016 à 21:02:02
Je viens de relire ton poste et ça veut dire que même avec une 335 je peux lire les flux TNT ?
(J'ai un lecteur de carte usb... ;) )

Oh bé mince alors :)
Reader 0: Cherry Smart Card Reader USB (...) 00 00
  Card state: Card inserted,
  ATR: XX XX XX XX XX XX XX XX XX XX XX XX
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: renaud07 le 09 décembre 2016 à 21:28:40
Tu peux utiliser n'importe quelle carte car les "droits" pour les chaines gratuites de la TNT n'expirent jamais sur ces cartes.

Intéressant, ça inclus vraiment toutes les chaînes de la TNT ou y'a des exceptions ? En tous cas c'est déjà mieux que rien.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: quack le 09 décembre 2016 à 23:09:34
Je viens de relire ton poste et ça veut dire que même avec une 335 je peux lire les flux TNT ?
(J'ai un lecteur de carte usb... ;) )

Non ce que je veux dire c'est que tu laisses ta 335 dans ton décodeur et tu trouves une 333 quelque part (ebay, leboncoin, ...) que tu mets dans ton lecteur pour regarder la TV sur ton PC.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 09 décembre 2016 à 23:51:39
Ah ok.
Bon je suppose que tu as dû essayé.

j'ai vu qu'oscam propose de l'émulation aussi et que l'"ATR" de la carte est listé (http://www.streamboard.tv/oscam/wiki/CardsList).

Ca passerait une carte comme ça ? https://secure.tntsat.tv/deja-equipe-tnt-sat/renouveler-carte-tnt-sat.htm (https://secure.tntsat.tv/deja-equipe-tnt-sat/renouveler-carte-tnt-sat.htm)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: renaud07 le 10 décembre 2016 à 02:42:17
Ca passerait une carte comme ça ? https://secure.tntsat.tv/deja-equipe-tnt-sat/renouveler-carte-tnt-sat.htm (https://secure.tntsat.tv/deja-equipe-tnt-sat/renouveler-carte-tnt-sat.htm)

Utiliser une carte TNT SAT pour la TV d'Orange, comment dire... je reste perplexe... Certes c'est du Viaccess aussi, mais ça serait un peu trop facile.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: quack le 10 décembre 2016 à 13:10:20
Ah ok.
Bon je suppose que tu as dû essayé.

j'ai vu qu'oscam propose de l'émulation aussi et que l'"ATR" de la carte est listé (http://www.streamboard.tv/oscam/wiki/CardsList).

Ca passerait une carte comme ça ? https://secure.tntsat.tv/deja-equipe-tnt-sat/renouveler-carte-tnt-sat.htm (https://secure.tntsat.tv/deja-equipe-tnt-sat/renouveler-carte-tnt-sat.htm)

Il faut une vraie carte issue de chez Orange sinon tu n'auras pas les droits dessus. Mais il y a plein de gens qui revendent leur ancien matériel (livebox, décodeurs, ...) et souvent leur vieille carte 333 est dans le décodeur.

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 12 décembre 2016 à 00:49:54
Salut,
je débute en ipv6 et il y a un petit truc que je ne pige pas  ;D

Depuis mon router (linux/ubuntu) je ping6 bien mais depuis mes postes sur le lan rien (avec ou sans resolution de nom).
Vous avez une idée ?

ONT<->eth1<->boîte<->(em1,wlan0)<->LAN

ps: c'est qd même sympa le coup du ba0bab de la part d'orange ;)

ci-dessous la conf sur le router:
ip -6 a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: em1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 a:b:c:d:a2b3:ccff:e:f/64 scope global mngtmpaddr dynamic
       valid_lft 86400sec preferred_lft 86400sec
    inet6 fe80::a2b3:ccff:e:f/64 scope link
       valid_lft forever preferred_lft forever
3: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 a:b:c:d:20f:54ff:e:f/64 scope global mngtmpaddr dynamic
       valid_lft 81171sec preferred_lft 9171sec
    inet6 fe80::20f:54ff:e:f/64 scope link
       valid_lft forever preferred_lft forever
4: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 fe80::250:62ff:fe20:41f/64 scope link
       valid_lft forever preferred_lft forever
7: eth1.832@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 a:b:c:d:g::1/64 scope global
       valid_lft forever preferred_lft forever


ip -6 route (j'ai laissé le soin à rdisc [/bin/rdisc6 -m -w 1000 ff02::2 $interface] de faire son boulot pour le ba0bab)
a:b:c:d::/64 dev wlan0  proto kernel  metric 256  expires 81170sec pref medium
a:b:c:d::/64 dev em1  proto kernel  metric 256  expires 86399sec pref medium
a:b:c:d::/64 dev eth1.832  proto kernel  metric 256  pref medium
a:b:c:d::/64 dev eth1.832  metric 1024  pref medium
fe80::/64 dev eth1  proto kernel  metric 256  pref medium
fe80::/64 dev em1  proto kernel  metric 256  pref medium
fe80::/64 dev wlan0  proto kernel  metric 256  pref medium
default via fe80::ba0:bab dev eth1.832  proto ra  metric 1024  expires 3243sec hoplimit 255 pref medium

radvd.conf
interface em1
{
# AdvManagedFlag off; # no DHCPv6 server here.
# AdvOtherConfigFlag on; # not even for options.
AdvSendAdvert on;
# AdvDefaultPreference high;
# AdvLinkMTU 1280;

#pick one non-link-local prefix assigned to the interface and start advertising it
# prefix a:b:c:d:d::/64
prefix ::/64
{
AdvOnLink on;
AdvAutonomous on;
    AdvPreferredLifetime 86400;
    AdvValidLifetime 86400;                                                             
# AdvLifetime 30;
};
RDNSS  a:b:c:d:d::1
{
AdvRDNSSLifetime 30;
};

};

interface wlan0
{
# AdvManagedFlag off; # no DHCPv6 server here.
# AdvOtherConfigFlag on; # not even for options.
AdvSendAdvert on;
# AdvDefaultPreference high;
# AdvLinkMTU 1280;

#pick one non-link-local prefix assigned to the interface and start advertising it
prefix a:b:c:d:d::/64
{
AdvOnLink on;
AdvAutonomous on;
    AdvPreferredLifetime 86400;
    AdvValidLifetime 86400;                                                             
# AdvLifetime 30;
};
RDNSS a:b:c:d:d::1
{
AdvRDNSSLifetime 30;
};
};

Et sur un des postes:
ip -6 addr
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 a:b:c:d:baca:3aff:e:f/64 scope global mngtmpaddr dynamic
       valid_lft 86400sec preferred_lft 86400sec
    inet6 fe80::baca:3aff:e:f/64 scope link
       valid_lft forever preferred_lft forever
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 a:b:c:d:2567:a5f0:c5fc:a1d3/64 scope global temporary dynamic
       valid_lft 86157sec preferred_lft 81870sec
    inet6 a:b:c:d:863a:4bff:e:f/64 scope global mngtmpaddr dynamic
       valid_lft 86157sec preferred_lft 86157sec
    inet6 fe80::863a:4bff:e:f/64 scope link
       valid_lft forever preferred_lft forever
4: vmnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UNKNOWN qlen 1000
    inet6 fe80::250:56ff:fec0:1/64 scope link
       valid_lft forever preferred_lft forever
5: vmnet8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UNKNOWN qlen 1000
    inet6 fe80::250:56ff:fec0:8/64 scope link
       valid_lft forever preferred_lft forever

ip -6 route
a:b:c:d::/64 dev eno1  proto kernel  metric 256  expires 86399sec pref medium
a:b:c:d::/64 dev wlp3s0  proto kernel  metric 256  expires 86069sec pref medium
fe80::/64 dev vmnet1  proto kernel  metric 256  pref medium
fe80::/64 dev vmnet8  proto kernel  metric 256  pref medium
fe80::/64 dev eno1  proto kernel  metric 256  pref medium
fe80::/64 dev wlp3s0  proto kernel  metric 256  pref medium
default via fe80::a2b3:ccff:e:f dev eno1  proto ra  metric 1024  expires 1799sec hoplimit 64 pref medium
default via fe80::20f:54ff:e:f dev wlp3s0  proto ra  metric 1024  expires 1469sec hoplimit 64 pref medium
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 12 décembre 2016 à 15:22:01
Trouvé :)
On peut simplifier la conf de radvd
prefix ::/64
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: mystogan le 17 décembre 2016 à 21:32:06
Je viens de m’apercevoir que je n'ai plus accès a internet en passant par la livebox, l'accès via le routeur debian est ok.
Toutes les tentatives d’accès à internet donnent la page livebox/captivePortal.html

Pourtant  la livebox donne encore la télé et le téléphone
Dans les menus de la livebox tout est Ok
La livebox directement sur Internet permet de récupérer internet

Bizarre
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 18 décembre 2016 à 02:41:14
Salut,
elle n'a peut-être pas pu faire son rebind dhcp à cause des prio ? ...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 23 décembre 2016 à 02:07:26
Salut,
chose promise chose dûe avec beaucoup de retard.
Si cela peut aider qqs uns en p.j. la conf.
A noter que j'ai utilisé un dhclient isc 4.3.5
Je vais encore l'améliorer et faire le script ;)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: mystogan le 23 décembre 2016 à 20:42:13
Après quelques tests avec un ordinateur (plutot que la tablette), il apparaît que seul certains sites bloquent sur la livebox.
Lemonde lequipe par exemple restent coincés sur la page de la livebox

Par contre, Google, wikipdia lafibre.info pas de problème.

Sur la fibre je me vois connecté en ipv6
Si je désactive l'ipv6 sur l'ordi, lafibre.info me voit en ipv4 mais toujours pas lemonde.fr


Et pci, c'est utilise le fichier etc/radvd.d/eth1.832.fnoc ?


Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 23 décembre 2016 à 23:56:32
Salut mystogan,
le fichier *.fnoc ne sert à rien, il peut être supprimé.

Ensuite pour tes petits soucis d'accès je ne vois pas trop comme ça. Surtout si certains sites passe et pas d'autres.
Commet est construit ton réseau ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: y-master le 28 décembre 2016 à 22:40:56
Je me relance dans ma conf, mon but est de conserver la LB uniquement pour la téléphonie, je n'utilise pas le TV.
Voici ou je m'en suis arrêté :
Bonsoir,
Je début la configuration du routage de ma connexion fibre Orange sur une Debian 8 (dans un esxi).
La partie client DHCP pour le WAN fonctionne bien mais je galère pour la partie serveur dhcp destiné a la livebox.
J'ai dédié une interface physique à la liaison avec la LB, sur laquelle je monte mon vlan 832.

Je reçoit bien les requêtes DHCP de la LB, mon serveur répond bien, mais la LB ne prend pas l'adresse proposée.

Une idée de la raison ?

La conf de mon serveur DHCP est la suivante :
ddns-update-style none;
default-lease-time 3600;
max-lease-time 10080;
#authoritative;
log-facility local7;

option authsend code 90 = string;
option authsend 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:70:70:71:XX:XX:XX:XX;
option SIP code 120 = string;
option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;

subnet 192.168.1.0 netmask 255.255.255.0 {
    range 192.168.1.50 192.168.1.70;
    option subnet-mask 255.255.255.0;
    option broadcast-address 192.168.1.255;
    option routers 192.168.1.250;
    option domain-name-servers 192.168.1.250;
    option domain-name "home.local";
}

subnet 172.16.1.0 netmask 255.255.255.0 {
        range 172.16.1.2 172.16.1.10;
        option subnet-mask 255.255.255.0;
        option broadcast-address 172.16.1.255;

        host livebox {
                hardware ethernet 54:64:D9:3C:XX:XX;
                fixed-address 172.16.1.2;
                option routers 172.16.1.1;
                option domain-name-servers 81.253.149.1, 80.10.246.130;
        }
}

Et l'échange entre la LB et mon serveur :
22:07:55.026622 IP (tos 0xc0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 362)
    0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 54:64:d9:3c:xx:xx (oui Unknown), length 334, xid 0x54184b78, secs 13, Flags [Broadcast]
          Client-Ethernet-Address 54:64:d9:3c:xx:xx (oui Unknown)
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Discover
            Parameter-Request Option 55, length 11:
              Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
              BR, Lease-Time, RN, RB
              AUTH, Option 119, Option 120
            Vendor-Class Option 60, length 5: "sagem"
            CLASS Option 77, length 44: "+FSVDSL_livebox.Internet.softathome.Livebox3"
            AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.112.112.113.xxx.xxx.xxx.xx
22:07:55.026717 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 380)
    172.16.1.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length 352, xid 0x54184b78, secs 13, Flags [Broadcast]
          Your-IP 172.16.1.2
          Client-Ethernet-Address 54:64:d9:3c:xx:xx (oui Unknown)
          Vendor-rfc1048 Extensions
            Magic Cookie 0x63825363
            DHCP-Message Option 53, length 1: Offer
            Server-ID Option 54, length 4: 172.16.1.1
            Lease-Time Option 51, length 4: 3600
            Subnet-Mask Option 1, length 4: 255.255.255.0
            Default-Gateway Option 3, length 4: 172.16.1.1
            Domain-Name-Server Option 6, length 8: dns-adsl-gpe3-l.orange.fr,dns-adsl-gpe2-b.wanadoo.fr
            BR Option 28, length 4: 172.16.1.255
            AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.112.112.113.xxx.xxx.xxx.xx
            T120 Option 120, length 42: 6,29538,25460,13159,833,21826,1633,25443,25971,29457,28530,24942,26469,11629,30060,29801,28005,25705,24835,28261,29696
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Jean41 le 08 janvier 2017 à 05:51:42
Salut,
chose promise chose dûe avec beaucoup de retard.
Si cela peut aider qqs uns en p.j. la conf.
A noter que j'ai utilisé un dhclient isc 4.3.5
Je vais encore l'améliorer et faire le script ;)

Salut,

Super initiative le script, des nouvelles ?  8) merci !
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: renaud07 le 08 janvier 2017 à 19:44:06
@y-master : Tu n'envoies pas les bonnes infos.

Pour l'option 90, ce n'est pas ton login qu'il faut mettre mais 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30 soit dhcplivebox250fr

Et tu dois rajouter option domain-name orange.fr dans la partie host livebox.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 09 janvier 2017 à 15:39:38
Salut,

Super initiative le script, des nouvelles ?  8) merci !

C'est en cours  ;)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 03 février 2017 à 01:34:39
Et voilà,
https://github.com/pci06/ba0bab (https://github.com/pci06/ba0bab)

Normalement c'est à peu près viable :)
Merci @Jean41 pour les tests réalisés.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Jean41 le 03 février 2017 à 05:00:53
Et voilà,
https://github.com/pci06/ba0bab (https://github.com/pci06/ba0bab)

Normalement c'est à peu près viable :)
Merci @Jean41 pour les tests réalisés.

Merci pci  ;) J'espère que ça aidera des bons gros débutants comme moi !  :)

J'ai donc testé le script avec Debian Stretch (netinstall) installé sur une clé USB avec deux configs équipées de 2x NIC Gigabit (Un Thinkpad x200 avec 8GB de RAM, et une vieille Atom avec 2GB), les résultats sont tops (280/100 soit le max de mon offre sosh !)

Une petite question par contre  :P Pour le moment j'ai une connexion fonctionnelle mais uniquement sur l'Atom donc.
J'aimerais donc mettre mon routeur openwrt derrière l'Atom pour gérer tout ça plus facilement.
Comment faire pour "acheminer" la connexion provenant de eth0 (WAN) vers eth1 ? Faut-il faire un bridge ?

ONT <-> Atom eth0 <-> Atom eth1 <-> routeur openwrt

Pour tout dire, j'ai essayé en suivant le tuto ici : https://wiki.debian.org/fr/BridgeNetworkConnections

mais networking.service merdouille au démarrage. (ifup failed to bring br0)

Ou alors je suis complètement à côté de la plaque (fort possible  ;D ) et il faut procéder autrement..

Si quelqu'un a une idée sur comment mettre en place tout ça.. Merci d'avance !  :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 03 février 2017 à 09:28:58
Salut,
tu n'as pas besoin de bridge ici, tu peux toujours en faire un tu as le choix :)

Perso je préfère l'option sans bridge, décrite ci-dessous
eth0 sera la patte de sortie, ton Atom deviendra donc une DMZ
Il faut donc que eth0 & eth1 soient configurées pour faire du forward
sysctl -w net.ipv4.ip_forward=1

sur eth0 tu auras un règle de routage qui dit:
default via TON_IP_ORANGE dev vlan832

eth1 sera configurée avec une adresse statique comme par exemple 192.168.1.1 et sera la gateway de ton openwrt

dans iptables:
iptables -t nat -A POSTROUTING -o vlan832 -j MASQUERADE

pour rendre tout ça persistent:
apt install iptables-persistent

et iptables-save > /etc/iptables/rules.v4

vi /etc/sysctl.conf et ajouter la ligne:
net.ipv4.ip_forward=1


Voilà,
j'espère que je n'ai rien oublié

ps: ton Atom peut faire facilement le boulot de l'openwrt et sans doute mieux ;) (ça évite les boîtes en plastique qui s'empilent)


Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Jean41 le 03 février 2017 à 19:56:02
Merci pci !

C'est vrai que c'est plus élégant comme ça. Idéalement oui j'aimerais tout gérer depuis l'Atom mais je n'ai qu'une expérience minimale avec Linux. (1an en gros) Déjà tu m'as permis de démystifier le fichier /etc/network/interfaces et je t'en remercie  ;D Je vais potasser le sujet davantage.

Je testerai ta solution ce week-end ceci dit   8) C'est déjà nickel d'avoir la connexion fonctionnelle !  ;)
Titre: Remplacer la livebox sans pppoe
Posté par: vincen le 14 mars 2017 à 16:28:09
OK, c'est une bonne nouvelle.
Pour l'ERL il suffira donc de patcher le fichier perl qui génère le fichier de configuration DHCP. Pas très difficile.
Update: Alors, pour un firmware 1.7 (et sans doute suivants), il faut modifier le fichier /opt/vyatta/sbin/vyatta-interfaces.pl. Rechercher la ligne
$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";et rajouter en dessous
$output .= "option rfc3118-auth code 90 = string;\n\n";Puis rebooter l'ERL. A partir de ce moment, il devrait (je mets au conditionnel car je n'ai pas encore testé) être possible de faire
set interfaces ethernet eth1 dhcp-options client-option "send rfc3118-auth xx:xx:xx:xx:xx:.....;"dans le fichier de config de l'ERL ;)
Merci pour tes explications que je vais tenter de reproduire sur une USG Unifi mais par contre comment coder en dur directement dans le fichier vyatta-interfaces.pl ma string de mon abo ?
Titre: Remplacer la livebox sans pppoe
Posté par: mike78530 le 14 mars 2017 à 21:45:52
Merci pour tes explications que je vais tenter de reproduire sur une USG Unifi mais par contre comment coder en dur directement dans le fichier vyatta-interfaces.pl ma string de mon abo ?

J'ai trouvé ça sur un autre post :

2nd Step is to modify /opt/vyatta/sbin/vyatta-interfaces.pl as shown below (to do this the easiest way is to use vi via putty):
https://lafibre.info/remplacer-livebox/dhcp-gs108tv2-erl3-livebox-pour-tel-et-tv/msg329455/#msg329455
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: kgersen le 16 mars 2017 à 22:34:04
J'ai déplacé les messages spécifiques a la conf IPv6 sur un ERL dans: https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax-configuration-ipv6/
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 14 avril 2017 à 00:13:37
Salut a tous

peur de passer pour un noob, mais quand j'essaye de lancer le script "genconfig.sh" de pci j'ai direct un configuration annulé .
le check bin me dit que tout est ok

Pourtant en regardant le script je ne voit pas d'argument a taper avec la commande ?

Est ce que quelqu'un peux m'en dire plus sur comment utiliser ce script ?

Merci
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 14 avril 2017 à 09:34:24
Salut,
il faut bien veiller à sélectionner le bouton ok à chaque fois.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 14 avril 2017 à 10:55:15
Ya aucun bouton sa affiche directement configuration annulé

ceci dit j'ai commencé a reprendre les fichiers dans le dossier original et je les adaptes manuellement, pour l'instant vlan832 ok et internet ok

je continue ce matin pour la tv
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 14 avril 2017 à 10:59:56
Impéc,
ils sont là un peu pour ça aussi :)
Par contre je serai intéressé pour fixer le bug.
Pourrais-tu m'envoyer le petit nom de tes interfaces réseaux ?
Ou mieux un:
bash -x ./genconfig.sh
En masquant tes données personnelles.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 14 avril 2017 à 11:05:12
j'en ai 4

eth0, eth1 et eth2 et aussi un tun0

eth0= freebox v5 adsl en mode bridge
eth1= mon lan (switch dlink DGS-1100-16)
eth2 = ONT orange fibre
tun0 = openvpn

Suis en vavance la donc si tu es dispo ce matin envoie moi ton tel par mp, on poura debugé ça en direct et plus rapidement ;-)

resultat du bash

root@gateway:/orange/ba0bab-master# bash -x ./genconfig.sh
+ tempfile=/tmp/filelFcfqi
+ trap 'rm -f /tmp/filelFcfqi' 0
+ : dialog
+ : 0
+ : 1
+ : 2
+ : 3
+ : 4
+ : 255
+ : 0
+ : 1
+ : 2
+ : 3
+ : 9
+ : 15
++ getNICnMAC
++ ip -o link
++ sort
++ sed -n '/^[0-9]\+:[[:space:]]\+lo:/ d;s,[0-9]\+:[[:space:]]*\([^:]\+\):.*/ether[[:space:]]*\([^[:space:]]\+\)[[:space:]]\+.*,\1 \2,;p'
+ dialog --clear --title 'Interface WAN' --menu 'Sélectionner l'\''interface WAN dans la liste ci-dessous:' 20 51 4 6: tun0: '<POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP>' mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen '100\' link/none eth0 00:13:3b:0f:c5:54 eth1 f4:f2:6d:00:2f:73 eth2 00:23:7d:c4:7b:f2 vlan832@eth2 00:23:7d:c4:7b:f2
+ shouldExit 127 'Configuration annulée'
+ '[' 127 -ne 0 ']'
+ echo Configuration annulée
Configuration annulée
+ exit 127
+ rm -f /tmp/filelFcfqi
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 14 avril 2017 à 11:11:04
Arf, mon expression sed ne gère par le cas d'un tun0 :-)
Merci.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 14 avril 2017 à 11:12:21
ok dans ce cas prevoit aussi les pppx  ;)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 14 avril 2017 à 11:17:50
Voilà plus de ppp*, tun*, tap*  ;)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 14 avril 2017 à 11:19:40
sinon la chaine de la mac adresse pour le dhcp c'est 1:XX:XX:XX:XX:XX:XX; ou 1:XXXXXXXXXX; ?

sinon le script marche toujours pas (j'ai deja le vlan832 peut etre ça ?)

+ tempfile=/tmp/fileUZ8bls
+ trap 'rm -f /tmp/fileUZ8bls' 0
+ : dialog
+ : 0
+ : 1
+ : 2
+ : 3
+ : 4
+ : 255
+ : 0
+ : 1
+ : 2
+ : 3
+ : 9
+ : 15
++ getNICnMAC
++ ip -o link
++ sort
++ sed -n '/^[0-9]\+:[[:space:]]\+ppp[0-9]\+:/ d;/^[0-9]\+:[[:space:]]\+tap[0-9]\+:/ d;/^[0-9]\+:[[:space:]]\+tun[0-9]\+:/ d;/^[0-9]\+:[[:space:]]\+lo:/ d;s,[0-9]\+:[[:space:]]*\([^:]\+\):.*/ether[[:space:]]*\([^[:space:]]\+\)[[:space:]]\+.*,\1 \2,;p'
+ dialog --clear --title 'Interface WAN' --menu 'Sélectionner l'\''interface WAN dans la liste ci-dessous:' 20 51 4 eth0 00:13:3b:0f:c5:54 eth1 f4:f2:6d:00:2f:73 eth2 00:23:7d:c4:7b:f2 vlan832@eth2 00:23:7d:c4:7b:f2
+ shouldExit 127 'Configuration annulée'
+ '[' 127 -ne 0 ']'
+ echo Configuration annulée
Configuration annulée
+ exit 127
+ rm -f /tmp/fileUZ8bls
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 14 avril 2017 à 11:36:10
c'est 1:XX:XX:XX:XX:XX:XX
Non ce n'est pas le vlan, je vais regarder.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 14 avril 2017 à 13:35:58
Bon apres plusieurs test j'ai un souci si je passe par mon routeur debian et le vlan832

avec le vlan832 j'ai 280mb en down et a peine 5,8mb en up c'est tres bas
si je passe par la livebox en double nat cad : livebox dmz --> eth2 (routeur debian) la j'ai 562 down et 242 up !!!
Pourquoi une si grande difference ?
probleme de qos ? priorité de paquet ?

Si quelqu'un a une idée ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 14 avril 2017 à 13:42:23
C'est bizarre effectivement, mais là comme ça difficile à dire  (driver, RX/TX error, ...) ?
Sur mon routeur j'ai une offre 200/100 et je suis à ~280/108 (sans lb)


Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 14 avril 2017 à 13:47:58
driver je pense pas car j'utilise la meme interface eth2 le vlan832 est sur eth2 .
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 14 avril 2017 à 13:52:15
C'est peut-être tout simplement ton routeur qui ne suit pas.
J'ai un vieux Synology D210j qui ne supporte pas ce genre de débit, même avec sa carte 100Mps il a du mal dès lors que le processus qui génère le traffic consomme du cpu.
(je ne vois pas trop tes conditions de test)

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 14 avril 2017 à 13:55:09
le routeur suis car comme j'ai dit en double nat livebox dmz --> eth2 de mon routeur le debit est au max
si je passe par l'ont donc ont --> eth2 (vlan832) la les debit s'ecroule surtout en upload

le probleme est ailleurs :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 14 avril 2017 à 14:24:57
Vérifie que tu as bien ça:
cat /proc/net/vlan/vlan832vlan832  VID: 832 REORDER_HDR: 1  dev->priv_flags: 1001
         total frames received     68045910
          total bytes received 247101742494
      Broadcast/Multicast Rcvd            0

      total frames transmitted     61368223
       total bytes transmitted  27326173576
Device: eth0
INGRESS priority mappings: 0:0  1:0  2:0  3:0  4:0  5:0  6:0 7:0
 EGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 14 avril 2017 à 17:30:10
j'ai ça mon egress est different

mais la ca marche bien la seule difference par rapport a tout a l'heure c'est que j'ai desactiver mon eth0 qui est connecté sur une freebox v5

vlan832  VID: 832 REORDER_HDR: 1  dev->priv_flags: 1
         total frames received       226628
          total bytes received   1115024847
      Broadcast/Multicast Rcvd            0

      total frames transmitted       433921
       total bytes transmitted    456375334
Device: eth2
INGRESS priority mappings: 0:0  1:0  2:0  3:0  4:0  5:0  6:0 7:0
 EGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 14 avril 2017 à 19:22:04
Bon apres plusieur test c'est bien le egress qui est l'origine donc il faut faire une modif de l'egress apres le dhcp sinon ca marche pas

pourtant toi pci dans ton interface pour le vlan838 par exemple tu fais la modif du egress avant le dhcp :
iface vlan838 inet manual
vlan-id 838
  vlan-raw-device _WANIFACE_
up /bin/ip link set dev vlan838 type vlan egress 0:4 1:4 2:4 3:4 4:4 5:4 6:6 7:4
up /opt/isc-dhcp/sbin/dhclient -4 -cf /etc/dhcp/orange/838.conf -v -pf /run/dhclient.vlan838.pid -lf /var/lib/dhcp/dhclient.vlan838.leases -sf /sbin/dhclient-script vlan838
post-down dhclient -x -pf /run/dhclient.vlan838.pid || true

or moi si je fais ça pour le vlan832 ça marche pas il faut le faire apres le dhcp comme ci dessous
auto vlan832
iface vlan832 inet6 manual
       vlan-id 832
 vlan-raw-device eth2
        up dhclient -v -4 -cf /etc/dhcp/832.conf -pf /run/dhclient.vlan832.pid -lf /var/lib/dhcp/dhclient.vlan832.leases vlan832
        up /bin/ip link set dev vlan832 type vlan egress 0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0
        down dhclient -v -x -cf /etc/dhcp/orange/832.conf -lf /var/lib/dhcp/dhclient.vlan832.leases -pf /run/dhclient.vlan832.pid vlan832 || true

J'avance petit a petit ;)

Sinon quelqu'un aurait un script ou un soft pour faire un failover entre mon vlan832 et mon eth0 ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: pci le 14 avril 2017 à 22:03:16
 Si tu as pris les templates de ba0bab les priorités egress sont positionnées dans les scripts dhcp
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 15 avril 2017 à 01:30:31
J'en suis a essayer d'activer la tv

j'ai tenter cette technique d'ici http://www.forum-orange.com/viewtopic.php?id=17933
ça marche pas

est'ce que quelqu'un a un tuto pour activer la tv avec un routeur linux ?
je supose qu'il faut un proxy igmp ?

sur la config ba0bab je voit pas comment ca active la tv les vlans sont bien activé mais rien d'autre pas de bridge
et pourquoi sur le vlan839 ya une adresse static, alors qu'il existe un 839.conf pour le dhcp ?

encore quelques mysteres :)

Bon je vais au lit je reprend tout ça demain
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jeremyp3 le 15 avril 2017 à 02:16:17
bonjour,

pour activer la tv, (le live), il faut:

monté le vlan 840
lui mettre une adresse ip quelconque
installer et configurer un proxy IGMP comme igmmproxy

et si j'oublie rien, c'est tout pour le live

jerem
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 15 avril 2017 à 07:02:58
et si j'oublie rien, c'est tout pour le live
Exactement. Pas besoin de bridge.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 15 avril 2017 à 14:42:06
bon c'est galere

Ma config pour l'instant c'est le vlan840 monté avec une ip et le vlan838 qui recoit bien une ip en 10.x.x.x
les priorité sont bonne visiblement
Pour info c'est une livebox V4 que j'ai

Pour le vlan 838
vlan838  VID: 838 REORDER_HDR: 1  dev->priv_flags: 4001
         total frames received            3
          total bytes received         1191
      Broadcast/Multicast Rcvd            0

      total frames transmitted          109
       total bytes transmitted        14608
Device: eth2
INGRESS priority mappings: 0:0  1:0  2:0  3:0  4:0  5:0  6:0 7:0
 EGRESS priority mappings: 0:4 1:4 2:4 3:4 4:4 5:4 6:6 7:4

pour le 840

vlan840  VID: 840 REORDER_HDR: 1  dev->priv_flags: 4001
         total frames received           38
          total bytes received         1900
      Broadcast/Multicast Rcvd           38

      total frames transmitted           93
       total bytes transmitted         9772
Device: eth2
INGRESS priority mappings: 0:0  1:0  2:0  3:0  4:0  5:0  6:0 7:0
 EGRESS priority mappings: 0:5 1:5 2:5 3:5 4:5 5:5 6:6 7:5

j'ai essayé de faire un bridge entre le vlan840 et mon interface relié au decodeur mais ca marche pas

avec igmpproxy ou pimd meme chose

quelqu'un a une config ou un exemple ?

pour le firewall je supose que quelques regles doivent etre appliqué ?

et toi pci tu t'en es sortie ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 16 avril 2017 à 00:07:27
Bon télé enfin ok

mon prob venait que le decodeur ne marche pas sur une des prises reseau de mon salon , heureusement j'en ai une deuxieme a coté qui marche bien , le truc qui est ouf c'est que la prise qui marche pas avec le decodeur marche bien avec un switch, surement un probleme d'autonegotiation.

pour aider voici un extrait de mes conf et firewall, sachant que le vlan22 est un vlan qui me permet d'isoler le reseau pour la tv d'orange car j'ai pas assez de cartes reseaux sur mon routeur donc j'ai creer ce vlan sur mon eth1 qui est relié a mon premier switch manageable. Ce switch detague ce vlan22 sur le port qui est relié au décodeur.

le vlan22 a comme reseau 192.168.101.0/24 et l'interface sur mon routeur a une ip fixe de 192.168.101.254

donc dans /etc/network/interfaces j'ai ajouté ceci :
auto vlan22
iface vlan22 inet static
        vlan-id 22
  vlan-raw-device eth1
        address 192.168.101.254
        netmask 255.255.255.0
        network 192.168.101.0
        broadcast 192.168.101.255

ensuite il faut metre un serveur dhcp dessus qui envoie les dns d'orange donc j'ai rajouté a la fin de mon /etc/dhcp/dhcpd.conf

# le réseau 192.168.101.0/24 sur le vlan22 de eth1, avec la réserve d'adresses dynamiques
subnet 192.168.101.0 netmask 255.255.255.0 {
range dynamic-bootp 192.168.101.20 192.168.101.25;
max-lease-time 3600;
default-lease-time 3600;
option domain-name-servers 81.253.149.1, 80.10.246.130;
option subnet-mask 255.255.255.0;
option routers 192.168.101.254;
}

ensuite j'ai compilé et installé igmpproxy à  partir d'ici : https://github.com/pali/igmpproxy

on téléchrage le master.zip on le decompresse dans un dossier et on lance d'abord autogen.sh suivi d'un ./configure && make && make install
on creer le fichier /etc/igmpproxy.conf qui contient pour moi
##------------------------------------------------------
## Enable Quickleave mode (Sends Leave instantly)
##------------------------------------------------------
quickleave


##------------------------------------------------------
## Configuration for vlan840 (Upstream Interface)
##------------------------------------------------------
phyint vlan840 upstream  ratelimit 0  threshold 1
        altnet 193.0.0.0/8
        altnet 81.0.0.0/8
        altnet 172.0.0.0/8
        altnet 80.0.0.0/8
##------------------------------------------------------
## Configuration for vlan22 (Downstream Interface)
##------------------------------------------------------
phyint vlan22 downstream  ratelimit 0  threshold 1
       
##------------------------------------------------------
## Configuration for (Disabled Interface)
##------------------------------------------------------
phyint eth0 disabled
phyint eth1 disabled
phyint eth2 disabled

Pas sure que les altnet soit necessaires mais certains les ont mis

ensuite les regles a ajoutées a votre firewall :

iptables -A INPUT -p udp --dport 8200 -i vlan840 -j ACCEPT
iptables -A INPUT -p udp --dport 8202 -i vlan840 -j ACCEPT
iptables -A INPUT -p udp --dport 5678 -i vlan840 -j ACCEPT
iptables -A INPUT -p igmp -i vlan840 -j ACCEPT
iptables -A INPUT -p igmp -i vlan22 -j ACCEPT
iptables -A FORWARD -p udp --dport 8200 -i vlan840 -o vlan22 -j ACCEPT
iptables -A FORWARD -p udp --dport 8202 -i vlan840 -o vlan22 -j ACCEPT
iptables -A FORWARD -p udp --dport 5000 -i vlan22 -o vlan838 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8554 -i vlan22 -o vlan838 -j ACCEPT

a noté que certain disent qu'il faut rajouter un nat sur le vlan838 mais chez moi pas besoin sachant que j'ai pas pu tester la vod completement.
si vous vouler le rajouter, ajouter ceci en plus
iptables -t nat -A POSTROUTING -o vlan838 -j MASQUERADE
et derniere etape je rajoute le lancement de igmproxy dans /etc/rc.local pour qu'il reparte au boot

sleep 20
cd /
./iptables5.sh
./failover.sh &
igmpproxy /etc/igmpproxy.conf

pour info le sleep 20 permet d'attendre que toute les interfaces soit up car sinon igmpproxy generera une erreur car lancé avant les up de toutes nos nombreuses interfaces et vlans sachant qu'un sleep 10 devrait suffire mais bon je joue la prudence
le iptable5.sh c'est la config de mon firewall, le failover.sh c'est un script qui detecte si la ligne orange devient down et bascule sur ma freebox en adsl automatiquement,  et le lancement de igmpproxy avec "igmpproxy /etc/igmpproxy.conf".

Biensure pensez a adapter et modifier le vlan22 par votre interface si vous vouler utiliser une interface direct sans vlan.

J'ai essayer d'utilsé gimp mais impossible d'optenir quoi que ce soit.

Voila

Si quelqu'un voit des choses a rajouter ou au contraire d'inutiles n'hesitez pas :)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 16 avril 2017 à 00:56:13
Je vient de voir que certain service qui necessite daily motion ne marche pas comme allo ciné et aussi iconcert :

quelqu'un a une idée ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 16 avril 2017 à 07:14:17
Surement à cause du manque du NAT sur le VLAN 838 (qui est obligatoire pour que tout ce qui n'est pas en multicast fonctionne), et/ou de la prise en compte des routes "classless" transmises dans la réponse DHCP sur le VLAN 838. A quoi ressembe ta table de routage ? Il doit y avoir des routes du style:

root@gateway:~$ ip route
default via 90.116.160.1 dev eth1.832  proto zebra
10.138.104.0/21 dev eth1.838  proto kernel  scope link  src 10.138.111.182
80.10.117.120/31 via 10.138.111.254 dev eth1.838
80.10.204.0/22 via 10.138.111.254 dev eth1.838
81.253.206.0/24 via 10.138.111.254 dev eth1.838
81.253.210.0/23 via 10.138.111.254 dev eth1.838
81.253.214.0/23 via 10.138.111.254 dev eth1.838
90.116.160.0/21 dev eth1.832  proto kernel  scope link  src 90.116.162.5
172.19.20.0/23 via 10.138.111.254 dev eth1.838
172.20.224.167 via 10.138.111.254 dev eth1.838
172.23.12.0/22 via 10.138.111.254 dev eth1.838
192.168.255.254 dev eth1.840  proto kernel  scope link
193.253.67.88/29 via 10.138.111.254 dev eth1.838
193.253.153.227 via 10.138.111.254 dev eth1.838
193.253.153.228 via 10.138.111.254 dev eth1.838

Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 16 avril 2017 à 11:56:42
j'ai qu'une route sur le vlan838 pourtant j'ai activer le masquerade sur le vlan 138.

root@gateway:~# ip route
default via 90.113.24.1 dev vlan832
10.8.0.0/24 via 10.8.0.4 dev tun0
10.8.0.4 dev tun0  proto kernel  scope link  src 10.8.0.3
10.226.35.0/24 dev vlan838  proto kernel  scope link  src 10.226.35.125
88.164.71.0/24 dev eth0  proto kernel  scope link  src 88.164.71.X
90.113.24.0/21 dev vlan832  proto kernel  scope link  src 90.113.31.X
192.168.4.0/24 dev vlan840  proto kernel  scope link  src 192.168.4.254
192.168.100.0/24 dev eth1  proto kernel  scope link  src 192.168.100.254
192.168.101.0/24 dev vlan22  proto kernel  scope link  src 192.168.101.254

mon vlan 838 est bien monté

vlan838  VID: 838 REORDER_HDR: 1  dev->priv_flags: 1
         total frames received            1
          total bytes received          397
      Broadcast/Multicast Rcvd            0

      total frames transmitted           67
       total bytes transmitted        10810
Device: eth2
INGRESS priority mappings: 0:0  1:0  2:0  3:0  4:0  5:0  6:0 7:0
 EGRESS priority mappings: 0:4 1:4 2:4 3:4 4:4 5:4 6:6 7:4

vlan838   Link encap:Ethernet  HWaddr 00:23:7d:c4:7b:f2 
          inet adr:10.226.35.125  Bcast:10.226.35.255  Masque:255.255.255.0
          adr inet6: fe80::223:7dff:fec4:7bf2/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1 errors:0 dropped:0 overruns:0 frame:0
          TX packets:67 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:397 (397.0 B)  TX bytes:10810 (10.5 KiB)
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 16 avril 2017 à 12:01:14
Il faut demander explicitement les routes lors de la requête DHCP sur le VLAN 838:
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;

interface "eth1.838" {
send vendor-class-identifier "sagem";
send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";
send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;
request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3442-classless-static-routes;
}

et s'assurer que le script rfc3442-classless-routes est bien dans /etc/dhcp3/dhclient-exit-hooks.d (mais avec un debian ce devrait être bon).
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 16 avril 2017 à 12:27:22
J'arrive pas a optenir les routes

la declaration de mon interfaces :
# VLAN VoD
auto vlan838
iface vlan838 inet manual
        vlan-id 838
  vlan-raw-device eth2
        up dhclient -4 -cf /etc/dhcp/838.conf -v -pf /run/dhclient.vlan838.pid -lf /var/lib/dhcp/dhclient.vlan838.leases -sf /sbin/dhclient-script vlan838
        up /bin/ip link set dev vlan838 type vlan egress 0:4 1:4 2:4 3:4 4:4 5:4 6:6 7:4
        post-down dhclient -x -pf /run/dhclient.vlan838.pid || true

mon fichier /etc/dhcp/838.conf
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;

interface "vlan838" {
        send vendor-class-identifier "sagem";
        send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";
        send dhcp-client-identifier 1:AC:84:C9:XX:XX:XX;
        request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3442-classless-static-routes;
}

j'ai recopié ta config avec ma macadress .
la chaine \047FSVDSL_ est toujours la meme ?

le fichier  script rfc3442-classless-routes  est bien dans /etc/dhcp/dhclient-exit-hooks.d
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 16 avril 2017 à 12:30:25
La chaine est toujours la même, oui. Etrange que ça ne fonctionne pas avec le script...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 16 avril 2017 à 12:37:19
mon ifup -v vlan838 done

root@gateway:~# ifup -v vlan838
Configuring interface vlan838=vlan838 (inet)
run-parts --exit-on-error --verbose /etc/network/if-pre-up.d
run-parts: executing /etc/network/if-pre-up.d/bridge
run-parts: executing /etc/network/if-pre-up.d/vlan
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 838 to IF -:eth2:-
dhclient -4 -cf /etc/dhcp/838.conf -v -pf /run/dhclient.vlan838.pid -lf /var/lib/dhcp/dhclient.vlan838.leases -sf /sbin/dhclient-script vlan838
Internet Systems Consortium DHCP Client 4.3.1
Copyright 2004-2014 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/

Entering  (PREINIT)
Exiting  (PREINIT)
Listening on LPF/vlan838/00:23:7d:c4:7b:f2
Sending on   LPF/vlan838/00:23:7d:c4:7b:f2
Sending on   Socket/fallback
DHCPREQUEST on vlan838 to 255.255.255.255 port 67
DHCPACK from 10.226.35.254
Entering  (REBOOT)
Exiting  (REBOOT)
bound to 10.226.35.125 -- renewal in 43230 seconds.
/bin/ip link set dev vlan838 type vlan egress 0:4 1:4 2:4 3:4 4:4 5:4 6:6 7:4
run-parts --exit-on-error --verbose /etc/network/if-up.d
run-parts: executing /etc/network/if-up.d/bind9
run-parts: executing /etc/network/if-up.d/ip
run-parts: executing /etc/network/if-up.d/mountnfs
run-parts: executing /etc/network/if-up.d/openssh-server
run-parts: executing /etc/network/if-up.d/openvpn
run-parts: executing /etc/network/if-up.d/upstart

Je vois pas d'erreur
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 16 avril 2017 à 13:21:33
Zoc est ce que tu peux me donner ton ifup -v de ton vlan838 que je compare ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 16 avril 2017 à 14:03:50
Je suis sur un ERL (qui à la base est une debian mais avec une surcouche)... Donc non, je ne peux pas...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 16 avril 2017 à 14:07:28
j'ai vu que pci utilise dhclient isc 4.3.5 moi c'est un isc-dhclient-4.3.1 peut etre un lien ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 16 avril 2017 à 14:09:05
J'utilise une version 4.1...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 16 avril 2017 à 14:11:33
si on regarde bien mon log de mon ifup je vois aucune mention au script rfc3442-classless-routes je trouve ca bizzare ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 16 avril 2017 à 14:12:53
Je ne sais pas si quelque chose est sensé apparaître. Dans un premier temps, je pense qu'il serait bien de vérifier que les routes sont bien dans la réponse DHCP, avec wireshark par exemple...
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 16 avril 2017 à 14:14:40
au pire est'ce que je peux les rajouter manuellement avec un script ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 16 avril 2017 à 14:16:52
Oui, c'est ce qu'on faisait avant que l'ERL supporte le script pour les routes classless... Avec celles que j'ai donné plus haut ça doit marcher.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Labure le 16 avril 2017 à 15:11:09
j'ai rajouté les routes manuellement mais toujours pas de dailymotion erreur D02 mon ip route ca donne ça :

par contre la vod et les replay marche

root@gateway:~# ip route
default via 90.113.24.1 dev vlan832
10.8.0.0/24 via 10.8.0.4 dev tun0
10.8.0.4 dev tun0  proto kernel  scope link  src 10.8.0.3
10.226.35.0/24 dev vlan838  proto kernel  scope link  src 10.226.35.125
80.10.117.120/31 via 10.226.35.254 dev vlan838
80.10.204.0/22 via 10.226.35.254 dev vlan838
81.253.206.0/24 via 10.226.35.254 dev vlan838
81.253.210.0/23 via 10.226.35.254 dev vlan838
81.253.214.0/23 via 10.226.35.254 dev vlan838
88.164.71.0/24 dev eth0  proto kernel  scope link  src 88.164.71.X
90.113.24.0/21 dev vlan832  proto kernel  scope link  src 90.113.24.X
172.19.20.0/23 via 10.226.35.254 dev vlan838
172.20.224.167 via 10.226.35.254 dev vlan838
172.23.12.0/22 via 10.226.35.254 dev vlan838
192.168.4.0/24 dev vlan840  proto kernel  scope link  src 192.168.4.254
192.168.10.0/24 via 10.8.0.4 dev tun0
192.168.90.0/24 via 10.8.0.4 dev tun0
192.168.100.0/24 dev eth1  proto kernel  scope link  src 192.168.100.254
192.168.101.0/24 dev vlan22  proto kernel  scope link  src 192.168.101.254
192.168.110.0/24 via 10.8.0.4 dev tun0
192.168.120.0/24 via 10.8.0.4 dev tun0
192.168.130.0/24 via 10.8.0.4 dev tun0
192.168.140.0/24 via 10.8.0.4 dev tun0
192.168.150.0/24 via 10.8.0.4 dev tun0
192.168.151.0/24 via 10.8.0.4 dev tun0
192.168.152.0/24 via 10.8.0.4 dev tun0
192.168.153.0/24 via 10.8.0.4 dev tun0
192.168.160.0/24 via 10.8.0.4 dev tun0
192.168.200.0/24 via 10.8.0.4 dev tun0
192.168.210.0/24 via 10.8.0.4 dev tun0
193.253.67.88/29 via 10.226.35.254 dev vlan838
193.253.153.227 via 10.226.35.254 dev vlan838
193.253.153.228 via 10.226.35.254 dev vlan838

J'ai laissé tout en brut , j'en ai oublié une ?
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: mystogan le 04 mai 2017 à 00:06:14
Je viens de m’apercevoir que je n'ai plus accès a internet en passant par la livebox, l'accès via le routeur debian est ok.
Toutes les tentatives d’accès à internet donnent la page livebox/captivePortal.html

Pourtant  la livebox donne encore la télé et le téléphone
Dans les menus de la livebox tout est Ok
La livebox directement sur Internet permet de récupérer internet

Bizarre

J'ai changé d'IP et de prefix IPV6 dans la nuit de lundi à mardi, résultat plus d'internet/télé/téléphone mardi matin (pourtant, normalement, ça aurait dû changer tout seul).
J'ai du tout redémarrer pour que ça remarche.
Un collègue en fibre orange dans ma ville à aussi changé d'IP, ça a donc l'air d'être géographique.

J'en ai profité pour ré-initialiser la livebox, ça à l'air d'avoir réglé son problème.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: ohmer le 09 mai 2017 à 01:45:48
Bonjour,

Je vous partage ma recette après avoir pas mal galéré.
En espérant que cela puisse être utile aux autres abonnés fibre Orange.

Mon objectif était de simplifier la configuration d'un Linux en me basant sur ce qui a partagé ici (merci).
Plus précisément je voulais remplacer une Livebox Pro V4 par un NUC avec une seconde interface Ethernet en USB.
La distribution que j'ai choisi est un Ubuntu. Au début une 16.04 pour rester en LTS mais le package ifupdown manquait d'une fonctionnalité alors j'ai du l'upgrade en 16.04.
Ma recette se contente d'un accès IPv4 + IPv6 (pas de TV ou de ToIP).
Elle utilise ufw, isc-dhcp, dnsmasq et dnscrypt.

/etc/udev/rules.d/70-persistent-net.rules
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="<MAC_ADDR_LB>", NAME="wan"
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="<MAC_ADDR_LAN>", NAME="lan"
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="<MAC_ADDR_WLAN>", NAME="wifi"

/etc/network/interfaces.d/lan
allow-auto lan

iface lan inet static
        address 192.168.0.1
        netmask 255.255.255.0

/etc/network/interfaces.d/wan
allow-auto wan

iface wan inet manual
      hwaddress <MAC_ADDR_LB>

/etc/network/interfaces.d/wan.832
allow-auto wan.832

iface wan.832 inet dhcp
      vlan-id 832
      vlan-raw-device wan

iface wan.832 inet6 dhcp
      vlan-id 832
      vlan-raw-device wan
      accept_ra 2
      request_prefix 1

Le package ifupdown de la release 16.04 ne supporte pas d'invoquer le client DHCPv6 en mode délégation de prefixe (option -P).
Cela a été rajouté dans une version ultérieure : https://anonscm.debian.org/git/collab-maint/ifupdown.git/commit/?id=9af9a607274bec491ca165f9b8af6af26bbdf585 (https://anonscm.debian.org/git/collab-maint/ifupdown.git/commit/?id=9af9a607274bec491ca165f9b8af6af26bbdf585).
La 17.04 à une version plus récente du package qui contient cette fonction.

/etc/dhcp/dhclient.conf
option rfc3118-authentication code 90 = string;

option dhcp6.auth code 11 = string;
option dhcp6.userclass code 15 = string;
option dhcp6.vendorclass code 16 = string;

interface "wan.832" {
    send vendor-class-identifier "sagem";
    send dhcp-client-identifier <MAC_ADDR_LB>;
    send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
    send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:<ORANGE_ID>;

    request subnet-mask,
            routers,
            domain-name,
            broadcast-address,
            dhcp-lease-time,
            dhcp-renewal-time,
            dhcp-rebinding-time,
            rfc3118-authentication;

    send dhcp6.client-id 00:03:00:01:7c:26:64:64:cc:c8;
    send dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;
    send dhcp6.userclass 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
    send dhcp6.auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:<ORANGE_ID>;

    request dhcp6.auth, dhcp6.name-servers, dhcp6.sip-servers-names;
}

/etc/dhcp/dhclient-exit-hooks.d/ipv6
make_resolv_conf() { : ; }

ip_addr_add () {
    local prefix=$1
    local valid_lft=$2
    local preferred_lft=$3

    ip -6 addr add ${prefix%%/*}1/$((8 + ${prefix##*/})) dev lan \
       scope global valid_lft ${valid_lft} preferred_lft ${preferred_lft}
    return $?
}

ip_addr_del () {
    local prefix=$1

    ip -6 addr del ${prefix%%/*}1/$((8 + ${prefix##*/})) dev lan
    return $?
}

ip_addr_flush () {
    ip -6 addr flush dev lan scope global
    return $?
}

if [ "$interface" = "wan.832" ]
then
    case $reason in
        PREINIT6)
            ip_addr_flush
            ;;
        BOUND6)
            if [ -z "${ip6_prefix}" ]; then
                exit 2
            fi

            ip_addr_add ${ip6_prefix} ${max_life} ${preferred_life}
            exit_status=$((exit_status|$?))
            ;;
        REBIND6|RENEW6)
            if [ -z "${new_ip6_prefix}" ]; then
                exit 2
            fi

            if [ -n "${old_ip6_prefix}" ] && [ "${new_ip6_address}" != "${old_ip6_address}" ]; then
                ip_addr_del ${old_ip6_prefix}
            fi

            ip_addr_add ${new_ip6_prefix} ${new_max_life} ${new_preferred_life}
            exit_status=$((exit_status|$?))
            ;;
        EXPIRE6|RELEASE6|STOP6)
            ;;
    esac
fi

/etc/dnsmasq.conf
log-queries
log-dhcp

server=127.0.0.1#54

domain-needed
bogus-priv
filterwin2k
localise-queries
local=/local/
domain=local
expand-hosts
no-negcache
no-resolv
no-poll

enable-ra
dhcp-range=tag:lan, ::100, ::1ff, constructor:lan, ra-names, 64, 12h

dhcp-authoritative
dhcp-leasefile=/tmp/dhcp.leases
dhcp-range=192.168.0.100,192.168.0.200,12h
dhcp-option=1,255.255.255.0
dhcp-option=3,192.168.0.1
dhcp-option=6,192.168.0.1
read-ethers


/etc/dnscrypt-proxy/dnscrypt-proxy.conf
# A more comprehensive example config can be found in
# /usr/share/doc/dnscrypt-proxy/examples/dnscrypt-proxy.conf

ResolverName random
Daemonize no

# LocalAddress only applies to users of the init script. systemd users must
# change the dnscrypt-proxy.socket file.
# LocalAddress 127.0.2.1:53

/lib/systemd/system/dnscrypt-proxy.socket
[Unit]
Description=dnscrypt-proxy listening socket
Documentation=man:dnscrypt-proxy(8)
Wants=dnscrypt-proxy-resolvconf.service

[Socket]
ListenStream=127.0.0.1:54
ListenDatagram=127.0.0.1:54

[Install]
WantedBy=sockets.target

/etc/ufw/before.rules
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw-before-input
#   ufw-before-output
#   ufw-before-forward
#
# nat Table rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]

-A PREROUTING -i wan.832 -p tcp --dport 3122  -j DNAT --to-destination 192.168.0.10:22
-A POSTROUTING -s 192.168.0.0/24 -o wan.832 -j MASQUERADE
COMMIT

# Don't delete these required lines, otherwise there will be errors
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]
# End required lines


# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT

# quickly process packets for which we already have a connection
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# drop INVALID packets (logs these in loglevel medium and higher)
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP

# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT

# ok icmp code for FORWARD
-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPT

# allow dhcp client to work
-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT

#
# ufw-not-local
#
-A ufw-before-input -j ufw-not-local

# if LOCAL, RETURN
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN

# if MULTICAST, RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN

# if BROADCAST, RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN

# all other non-local packets are dropped
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

# allow MULTICAST UPnP for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j ACCEPT

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

/etc/ufw/before6.rules
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
#   ufw6-before-input
#   ufw6-before-output
#   ufw6-before-forward
#
*mangle
:PREROUTING ACCEPT [0:0]

-A POSTROUTING -o wan.832 -p udp --dport 547 -j DSCP --set-dscp-class CS6
COMMIT

# Don't delete these required lines, otherwise there will be errors
*filter
:ufw6-before-input - [0:0]
:ufw6-before-output - [0:0]
:ufw6-before-forward - [0:0]
# End required lines


# allow all on loopback
-A ufw6-before-input -i lo -j ACCEPT
-A ufw6-before-output -o lo -j ACCEPT

# drop packets with RH0 headers
-A ufw6-before-input -m rt --rt-type 0 -j DROP
-A ufw6-before-forward -m rt --rt-type 0 -j DROP
-A ufw6-before-output -m rt --rt-type 0 -j DROP

# quickly process packets for which we already have a connection
-A ufw6-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw6-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw6-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT

# drop INVALID packets (logs these in loglevel medium and higher)
-A ufw6-before-input -m conntrack --ctstate INVALID -j ufw6-logging-deny
-A ufw6-before-input -m conntrack --ctstate INVALID -j DROP

# ok icmp codes for INPUT (rfc4890, 4.4.1 and 4.4.2)
-A ufw6-before-input -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
# codes 0 and 1
-A ufw6-before-input -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
# codes 0-2
-A ufw6-before-input -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type echo-request -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type router-solicitation -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT
# IND solicitation
-A ufw6-before-input -p icmpv6 --icmpv6-type 141 -m hl --hl-eq 255 -j ACCEPT
# IND advertisement
-A ufw6-before-input -p icmpv6 --icmpv6-type 142 -m hl --hl-eq 255 -j ACCEPT
# MLD query
-A ufw6-before-input -p icmpv6 --icmpv6-type 130 -s fe80::/10 -j ACCEPT
# MLD report
-A ufw6-before-input -p icmpv6 --icmpv6-type 131 -s fe80::/10 -j ACCEPT
# MLD done
-A ufw6-before-input -p icmpv6 --icmpv6-type 132 -s fe80::/10 -j ACCEPT
# MLD report v2
-A ufw6-before-input -p icmpv6 --icmpv6-type 143 -s fe80::/10 -j ACCEPT
# SEND certificate path solicitation
-A ufw6-before-input -p icmpv6 --icmpv6-type 148 -m hl --hl-eq 255 -j ACCEPT
# SEND certificate path advertisement
-A ufw6-before-input -p icmpv6 --icmpv6-type 149 -m hl --hl-eq 255 -j ACCEPT
# MR advertisement
-A ufw6-before-input -p icmpv6 --icmpv6-type 151 -s fe80::/10 -m hl --hl-eq 1 -j ACCEPT
# MR solicitation
-A ufw6-before-input -p icmpv6 --icmpv6-type 152 -s fe80::/10 -m hl --hl-eq 1 -j ACCEPT
# MR termination
-A ufw6-before-input -p icmpv6 --icmpv6-type 153 -s fe80::/10 -m hl --hl-eq 1 -j ACCEPT

# ok icmp codes for OUTPUT (rfc4890, 4.4.1 and 4.4.2)
-A ufw6-before-output -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
# codes 0 and 1
-A ufw6-before-output -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
# codes 0-2
-A ufw6-before-output -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type echo-request -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type router-solicitation -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPT
# IND solicitation
-A ufw6-before-output -p icmpv6 --icmpv6-type 141 -m hl --hl-eq 255 -j ACCEPT
# IND advertisement
-A ufw6-before-output -p icmpv6 --icmpv6-type 142 -m hl --hl-eq 255 -j ACCEPT
# MLD query
-A ufw6-before-output -p icmpv6 --icmpv6-type 130 -s fe80::/10 -j ACCEPT
# MLD report
-A ufw6-before-output -p icmpv6 --icmpv6-type 131 -s fe80::/10 -j ACCEPT
# MLD done
-A ufw6-before-output -p icmpv6 --icmpv6-type 132 -s fe80::/10 -j ACCEPT
# MLD report v2
-A ufw6-before-output -p icmpv6 --icmpv6-type 143 -s fe80::/10 -j ACCEPT
# SEND certificate path solicitation
-A ufw6-before-output -p icmpv6 --icmpv6-type 148 -m hl --hl-eq 255 -j ACCEPT
# SEND certificate path advertisement
-A ufw6-before-output -p icmpv6 --icmpv6-type 149 -m hl --hl-eq 255 -j ACCEPT
# MR advertisement
-A ufw6-before-output -p icmpv6 --icmpv6-type 151 -s fe80::/10 -m hl --hl-eq 1 -j ACCEPT
# MR solicitation
-A ufw6-before-output -p icmpv6 --icmpv6-type 152 -s fe80::/10 -m hl --hl-eq 1 -j ACCEPT
# MR termination
-A ufw6-before-output -p icmpv6 --icmpv6-type 153 -s fe80::/10 -m hl --hl-eq 1 -j ACCEPT

# ok icmp codes for FORWARD (rfc4890, 4.3.1)
-A ufw6-before-forward -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A ufw6-before-forward -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
# codes 0 and 1
-A ufw6-before-forward -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
# codes 0-2
-A ufw6-before-forward -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
-A ufw6-before-forward -p icmpv6 --icmpv6-type echo-request -j ACCEPT
-A ufw6-before-forward -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
# ok icmp codes for FORWARD (rfc4890, 4.3.2)
# Home Agent Address Discovery Reques
-A ufw6-before-input -p icmpv6 --icmpv6-type 144 -j ACCEPT
# Home Agent Address Discovery Reply
-A ufw6-before-input -p icmpv6 --icmpv6-type 145 -j ACCEPT
# Mobile Prefix Solicitation
-A ufw6-before-input -p icmpv6 --icmpv6-type 146 -j ACCEPT
# Mobile Prefix Advertisement
-A ufw6-before-input -p icmpv6 --icmpv6-type 147 -j ACCEPT

# allow dhcp client to work
-A ufw6-before-input -p udp -s fe80::/10 --sport 547 -d fe80::/10 --dport 546 -j ACCEPT

# allow MULTICAST mDNS for service discovery
-A ufw6-before-input -p udp -d ff02::fb --dport 5353 -j ACCEPT

# allow MULTICAST UPnP for service discovery
-A ufw6-before-input -p udp -d ff02::f --dport 1900 -j ACCEPT

# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT

/etc/default/ufw
# Set to yes to apply rules to support IPv6 (no means only IPv6 on loopback
# accepted). You will need to 'disable' and then 'enable' the firewall for
# the changes to take affect.
IPV6=yes

# Set the default input policy to ACCEPT, DROP, or REJECT. Please note that if
# you change this you will most likely want to adjust your rules.
DEFAULT_INPUT_POLICY="DROP"

# Set the default output policy to ACCEPT, DROP, or REJECT. Please note that if
# you change this you will most likely want to adjust your rules.
DEFAULT_OUTPUT_POLICY="ACCEPT"

# Set the default forward policy to ACCEPT, DROP or REJECT.  Please note that
# if you change this you will most likely want to adjust your rules
DEFAULT_FORWARD_POLICY="ACCEPT"

# Set the default application policy to ACCEPT, DROP, REJECT or SKIP. Please
# note that setting this to ACCEPT may be a security risk. See 'man ufw' for
# details
DEFAULT_APPLICATION_POLICY="SKIP"

# By default, ufw only touches its own chains. Set this to 'yes' to have ufw
# manage the built-in chains too. Warning: setting this to 'yes' will break
# non-ufw managed firewall rules
MANAGE_BUILTINS=yes

#
# IPT backend
#
# only enable if using iptables backend
IPT_SYSCTL=/etc/ufw/sysctl.conf

# Extra connection tracking modules to load. Complete list can be found in
# net/netfilter/Kconfig of your kernel source. Some common modules:
# nf_conntrack_irc, nf_nat_irc: DCC (Direct Client to Client) support
# nf_conntrack_netbios_ns: NetBIOS (samba) client support
# nf_conntrack_pptp, nf_nat_pptp: PPTP over stateful firewall/NAT
# nf_conntrack_ftp, nf_nat_ftp: active FTP support
# nf_conntrack_tftp, nf_nat_tftp: TFTP support (server side)
IPT_MODULES="nf_conntrack_irc nf_nat_irc nf_conntrack_ftp nf_nat_ftp nf_conntrack_tftp nf_nat_tftp"

On laisse tout passer sur l'interface interne :
sudo ufw allow in on lan from any to any
Résultat, mes machines sur le LAN recupèrent bien un accès IPv4 et IPv6 (la machine agissant comme resolver DNS dual stack, DHCPv4 et DHCPv6).
Je n'ai pas testé tous les cas que script dhcp-exit-hook doit couvrir mais pour l'instant cela fonctionne comme voulu.

Je suis preneur de vos contributions si vous voyez des problèmes avec ma méthode.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Guy Faux le 09 mai 2017 à 22:15:44
merci bien ça m'a bien aidé :-)

pour revenir sur ce qui est dit dans le premier post, en ce qui me concerne je n'ai pas eu besoin de mettre le tag priorité 6 sur les trames ethernet.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: ohmer le 09 mai 2017 à 22:55:10
En effet, je l'ai fait en v6 mais pas v4. Mais si jamais y'a besoin, ajouter cela en haut de /etc/ufw/before.rules :

*mangle
-A POSTROUTING -o wan.832 -p udp --dport 67 -j DSCP --set-dscp-class CS6
COMMIT

À en lire tout un tas de forum, on dirait que, selon les régions ou les offres, certaines différences existent ou on existé côté Orange.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: jeremyp3 le 09 août 2017 à 17:24:43
salut,

bon je savais pas ou mettre ça.

cette après midi a 16h11 précise je viens de changer d'IP wan et de reverse par la même occasion

d'un reverse en lfbn je suis repassé a un reverse en ABayonnexxxxxx.abo.wanadoo.fr

extrait du log pour la mort de mon ip depuis février 2015 :(
Aug  9 16:07:53 routeurlinux dhclient[23351]: DHCPREQUEST of 90.78.107.158 on wan0.832 to 80.10.247.48 port 67
Aug  9 16:07:53 routeurlinux dhclient[23351]: DHCPNAK from 80.10.247.48
Aug  9 16:07:53 routeurlinux dhclient[23351]: DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 5
Aug  9 16:07:53 routeurlinux dhclient[23351]: DHCPREQUEST of 83.193.162.x on wan0.832 to 255.255.255.255 port 67
Aug  9 16:07:53 routeurlinux dhclient[23351]: DHCPOFFER of 83.193.162.x from 83.193.160.1
Aug  9 16:07:54 routeurlinux dhclient[23351]: DHCPACK of 83.193.162.x from 83.193.160.1
Aug  9 16:07:54 routeurlinux dhclient[23351]: bound to 83.193.162.x -- renewal in 38412 seconds.

donc ceux qui utilisent du matériel alternatif, attention si vous hébergez des trucs :)

P.S: j'ai gagné 2 a 3 ms vers paris, ça console mon chagrin :D
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Hugues le 09 août 2017 à 17:30:25
Comme dit sur IRC, tu es sur que tu n'es pas repassé en PPPoE ? On dirait un fallback.
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: zoc le 09 août 2017 à 17:47:46
Bah vu les logs je dirais que non :)

En plus je ne vois pas comment un pfSense (en fait j'ai rêvé il ne parle jamais de pfSense mais on est sur un sujet Linux/openbsd) configuré en DHCP pourrait fallback en PPPoE... ce n'est pas une Livebox...

Apres, il n'est pas étonnant qu'Orange redéploie ses plages d'IP de l'ancienne architecture vers la nouvelle au fur et à mesure que les clients sont migres, surtout maintenant que ça concerne aussi les clients ADSL
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: Hugues le 09 août 2017 à 18:17:07
/me se retire tout doucement en marche arrière
Titre: Remplacer la livebox avec DHCP+DHCPv6-pd (linux/openbsd)
Posté par: petrus le 09 août 2017 à 20:04:43
Bah vu les logs je dirais que non :)

En plus je ne vois pas comment un pfSense (en fait j'ai rêvé il ne parle jamais de pfSense mais on est sur un sujet Linux/openbsd) configuré en DHCP pourrait fallback en PPPoE... ce n'est pas une Livebox...

Apres, il n'est pas étonnant qu'Orange redéploie ses plages d'IP de l'ancienne architecture vers la nouvelle au fur et à mesure que les clients sont migres, surtout maintenant que ça concerne aussi les clients ADSL

+1. Un reverse dns mal configuré peut-être.