send vendor-class-identifier = "sagem";
option userclass code 77 = string;
send userclass 2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:33;
option authsend code 90 = string;
send authsend 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*; ## remplacez les étoiles par ce qui suis fti/* convertie en hexadécimal
mon userclass est définit manuellement car il semble qu'il y ai un bug si j'utilise l'option préexistante (en tout cas sur mon ordinateur)for i in 0 1 2 3 4 5 6 7; do
## on définit pour chaque file une priorité
vconfig set_egress_map eth0.832 $i $i >/dev/null
done
## On modifie la priorité de la file 1 à 0 c'est là qu'on renverra tout nos paquets, la file 0 qui est celle par défaut passe à 6
vconfig set_egress_map eth0.832 1 0 >/dev/null
vconfig set_egress_map eth0.832 0 6 >/dev/null
##IPV4
## Tout les protocoles changent de file vers le skb 01 dont on a mis la prio à 0
iptables -t mangle -A POSTROUTING -o eth0.832 -j CLASSIFY --set-class 0000:0001
##On maintient les paquets réseaux dans une file à prio 6
iptables -t mangle -A POSTROUTING -o eth0.832 -p igmp -j CLASSIFY --set-class 0000:0006
iptables -t mangle -A POSTROUTING -o eth0.832 -p icmp -j CLASSIFY --set-class 0000:0006
##Les paquets VOIP(téléphonie orange) sont taggués EF ont les met en prio 5
iptables -t mangle -A POSTROUTING -o eth0.832 -m dscp --dscp 0x2e -j CLASSIFY --set-class 0000:0005
##Si votre client DHCP n'utilise pas les raw socket il faut envoyer les paquet DHCP dans la file 6 (prio 6)
iptables -t mangle -A POSTROUTING -o eth0.832 -p udp --dport 67 -j CLASSIFY --set-class 0000:0006
##IPV6
## Tout les protocoles changent de file vers le skb 01 dont on a mis la prio à 0
ip6tables -t mangle -A POSTROUTING -o eth0.832 -j CLASSIFY --set-class 0000:0001
##On maintient les paquets réseaux dans une file à prio 6
ip6tables -t mangle -A POSTROUTING -o eth0.832 -p ipv6-icmp -j CLASSIFY --set-class 0000:0006
##Si votre client DHCPv6 n'utilise pas les raw socket il faut envoyer les paquet DHCPv6 dans la file 6 (prio 6) (c'est le cas de dibbler)
ip6tables -t mangle -A POSTROUTING -o eth0.832 -p udp --dport 547 -j CLASSIFY --set-class 0000:0006
dhclient -4 -cf /etc/dhclient_eth0_832.conf eth0.832
option authsend code 90 = string;
option authsend 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;
option SIP code 120 = string;
option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;
host livebox {
hardware ethernet 00:00:00:00:00:00; ## adresse mac de la box
fixed-address 192.168.*.*; ## adapter selon votre subnet
option routers 192.168.*.*; ## adapter selon l'adresse de votre routeur
option domain-name-servers 81.253.149.1, 80.10.246.130;
}
Ci-dessous un script "quick and dirty" en bash (exécution validée sur un ERL) pour générer la séquence d'octets à partir de votre identifiant (il faut passer en paramètre au script ce qui se trouve après "fti/" en respectant la casse:Code: [Sélectionner]#!/bin/bash
USERNAME=$1
AUTHSTRING=00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f
for (( i=0; i<${#USERNAME}; i++ )); do
HEXCHAR=$(echo -n ${USERNAME:$i:1} | od -An -txC | xargs)
AUTHSTRING=${AUTHSTRING}:${HEXCHAR}
done
echo ${AUTHSTRING}
Exemple d'execution (non, ce n'est pas mon identifiant :P ):Code: [Sélectionner]root@gateway:/config/scripts# ./generator.sh 7kgtyop
00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:37:6b:67:74:79:6f:70
downlink-prefix-ifaces "none" #On veut gérer le prefix nous même
script "/etc/dibbler/radvd.sh" #script pour générer la configuration radvd
iface "eth0.832" {
pd ### on demande une délégation de prefix ipv6 (c'est un /56)
option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*
}
#!/bin/bash
if [ $SRV_MESSAGE = "REPLY" ]
then
#!/bin/bash
LAN=net0
WAN=eth0.832
taille=${#PREFIX1}
taille=$((taille-4))
cat > /etc/radvd.conf << EOF
interface ${LAN}
{
AdvSendAdvert on;
prefix ${PREFIX1:0:taille}10::/64
{
AdvOnLink on;
AdvPreferredLifetime 86400;
AdvValidLifetime 86400;
AdvAutonomous on;
# AdvRouterAddr on;
};
RDNSS ${PREFIX1:0:taille}10::1
{
AdvRDNSSLifetime 30;
};
};
EOF
mv /etc/ip6deconf-new.sh /etc/ip6deconf-old.sh
cat > /etc/ip6conf.sh << EOF
/etc/ip6deconf-old.sh
ip -6 route add fe80::ba0:bab dev ${WAN}
ip -6 route add default via fe80::ba0:bab dev ${WAN}
ip -6 route add ${PREFIX1:0:taille}10::/64 dev ${LAN}
ip -6 addr add ${PREFIX1:0:taille}10::1/64 dev ${LAN}
systemctl restart radvd ##J'utilise systemd pour gérer mes démons et donc pour redemarrer radvd
EOF
cat > /etc/ip6deconf-new.sh << EOF
ip -6 route del fe80::ba0:bab dev ${WAN}
ip -6 route del default via fe80::ba0:bab dev ${WAN}
ip -6 route del ${PREFIX1:0:taille}10:: dev ${LAN}
ip -6 addr del ${PREFIX1:0:taille}10::1/64 dev ${LAN}
EOF
chmod +x /etc/ip6conf.sh
chmod +x /etc/ip6deconf-new.sh
/etc/ip6conf.sh
else
echo "Warning error" > /etc/dibbler/radvd.cfg
fi
ip6tables -A INPUT -i eth0.832 -p udp --dport 546 -j ACCEPT
Pour l'ERL il suffira donc de patcher le fichier perl qui génère le fichier de configuration DHCP. Pas très difficile.
Update: Alors, pour un firmware 1.7 (et sans doute suivants), il faut modifier le fichier /opt/vyatta/sbin/vyatta-interfaces.pl. Rechercher la ligneCode: [Sélectionner]$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";
et rajouter en dessousCode: [Sélectionner]$output .= "option rfc3118-auth code 90 = string;\n\n";
Puis rebooter l'ERL. A partir de ce moment, il devrait (je mets au conditionnel car je n'ai pas encore testé) être possible de faireCode: [Sélectionner]set interfaces ethernet eth1 dhcp-options client-option "send rfc3118-auth xx:xx:xx:xx:xx:.....;"
dans le fichier de config de l'ERL ;)
Doc quasi complète, à finaliser
Voici la configuration PF à appliquer pour être optimal avec de la sécurité sur IPv4 et IPv6 en bénéficiant du stateful PF, donc protégeant un maximum les hôtes locaux en IPv6 visibles d'Internet. Pas besoin de marquage ou quoi que ce soit, que ce soit en TCP,UDP,ICMP, IPv4 ou IPv6 le débit est au top avec cette configuration PFCode: [Sélectionner]wan_iface="vlan832"
table <lan_v4> { 192.168.1.0/24 172.16.9.0/23 }
# Persist table to change it with dibbler and don't flush it on firewall modification
table <lan_v6> persist
block log # block stateless traffic
pass keep state # establish keep-state
block in log quick on $wan_iface inet proto tcp to port { ssh http } # Block ssh and http from WAN
block in log quick on $wan_iface inet proto udp to port { syslog domain } # Block DNS and syslog from WAN
block in log quick on $wan_iface inet6 proto tcp to port { ssh http } # Block ssh and http from WAN
block in log quick on $wan_iface inet6 proto udp to port { syslog domain } # Block DNS and syslog from WAN
block in log quick on $wan_iface inet6 to <lan_v6> # Block incoming IPv6 trafic non sollicited by local LAN hosts
# Tag every TCP packets on wan interface with vlan priority 0 (1 in PF because of 802.1p), in IPv4 & IPv6
match out on $wan_iface proto { tcp udp } set prio 1
# nat clients to wan interface in IPv6
pass out quick on $wan_iface inet from <lan_v4> nat-to ($wan_iface) keep state
pass out quick on $wan_iface inet6 from <lan_v6> keep state
Configuration du dhclient natif OpenBSDCode: [Sélectionner]interface "vlan832" {
send dhcp-class-identifier "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send option-90 00:00:00:00:00:00:00:00:00:00:00:66:74:69:XX:XX:XX:XX:XX:XX:XX:XX;
}
Puis activation au boot:Code: [Sélectionner]echo "dhclient vlan832&" >> /etc/rc.local
Configuration de dibbler 1.0.1 compilé (/etc/dibbler/client.conf)Code: [Sélectionner]downlink-prefix-ifaces "none"
Tout comme sous Linux, il est obligatoire d'avoir 2x l'option 11
script "/etc/dibbler/rtadvd.sh"
iface "vlan832" {
pd
option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:xxxx
66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:xx:xx:xx:xx:xx:xx:xx:xx:xx
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:xx:xx:xx:xx:xx:xx:xx:xx:xx
}
A revérifier mais pas besoin de mettre la route par défaut dibbler la met automatiquement sous OpenBSD (il faut le lancer en root)Code: [Sélectionner]default fe80::ba0:bab%vlan832 UG 0 13235 - 56 vlan832
Concernant le router advertisement OpenBSD fournit l'outil natif pour le faire. Voici le script (à améliorer pour ajouter les DNS locaux au routeur dedans). Remplacez vether0 par le nom de l'interface de votre LAN (dans mon cas vether0 est une interface loopback branchée sur un bridge contenant quelques interfaces de mon LAN)Code: [Sélectionner]#! /bin/sh
if [ $SRV_MESSAGE = "REPLY" ]; then
cat >/etc/rtadvd.conf <<EOF
vether0:\\
:addr="${PREFIX1}":prefixlen#64:
EOF
# Set rtadvd starting flags, adding prefix to PF for setting the correct firewall outgoing rules
rcctl set rtadvd flags " vether0"
pfctl -t lan_v6 -T flush
pfctl -t lan_v6 -T add "${PREFIX1}/64"
# restart rtadvd
for P in $(pgrep rtadvd); do
kill ${P}
done
rcctl start rtadvd
Je me disais bien que c'était trop beau qu'Orange puisse utiliser un client DHCP standard (et en même temps je m'en doutais vu que j'avais déjà remarqué les DHCP discover avec l'option 90 sur mes différentes captures Wireshark)...
Ca promet pour nos ERL (D'autant plus qu'Ubiquiti n'utilise pas DHCPCD mais ISC-DHCP qui ne supporte pas du tout l'authentification par l'option 90)...
Question : Est-ce que PPPoE reste actif. Autrement dit le jour ou DHCP est déployé pour moi mon ERL configuré en PPPoE va-t-il cesser de fonctionner ?
C'est bien du dhcp + dhcp6-pd.
La possibilité de connexion ppp ne va pas disparaitre comme ça, il y en a encore pour quelques années. Par contre, pas d'ipv6 en ppp. Et je pense pas que ppp pour le v4 et dhcp pour le v6 soit possible (a tester).
Petrus a dit ici que PPPoE resterai actif.Oui, je sais, c'est moi qui lui avait posé la question ;D
Et rien ne dit qu'il utilise un ERL (J'aurais même tendance à croire qu'il utilise plutôt Linux sur un PC).
Au niveau de l'ip, j'ai commencé mes tests il y a 2 semaines et j'ai l'impression que l'ip qui m'est attribuée est toujours la même. Même quand je retourne à une connexion ppp pendant quelques jours (qui elle a une ip qui change à chaque connexion) quand je reviens sur le dhcp je récupère mon ip d'il y a 2 semaines. Je verrai combien de temps elle m'est reservé, je devrais avoir un peu de temps la semaine prochaine pour essayer d'améliorer tout ça.C'est ça la bonne nouvelle, elle reste à confirmer. Orange ne nous a pas habitué à un "bail" infini.
Je suppose, que l'on est reconnu par @mac qui faut renseigner ?Non, comme indiqué dans son premier message, authentification par option 90 (non supportée par l'ERL...).
Non, comme indiqué dans son premier message, authentification par option 90 (non supportée par l'ERL...).Oui ok
Dernier truc, avec le serveur, comme celui ci ne prend pas en charge l'option 90 j'envoie une séquence manuelle en hexadécimal que j'ai récupéré avec wireshark. Je pense qu'on peut faire la même chose avec un client dhcp. Ça permettrait à ceux qui ont un ERL d'utiliser le client dhclient-isc pour se connecter en DHCP. Je vais tenter la chose demain.J'avais pensé essayer ça pour le client DHCP de l'ERL, mais ma crainte c'était le RDM (qui en théorie est sensé s'incrèmenter à chaque fois pour éviter les attaques par rejeu). Mais comme tu as dit que chez Orange il est toujours à 0 j'ai espoir qu'on puisse s'en sortir avec ce genre d'astuce...
option rfc3118-auth code 90 = string;
option rfc3118-auth = xx:xx:xx:xx:xx:xx:.....;
ubnt@ubnt# set interfaces ethernet eth0 dhcp-options client-option ?
Possible completions:
<text> Additional options for DHCP client. You must
use the syntax of dhclient.conf in this text-field. Using this
without proper knowledge may result in a crashed DHCP client.
Check system log to look for errors.
set interfaces ethernet eth1 dhcp-options client-option "send vendor-class-identifier "neufbox6-votre.email@email.com";"
Normalement ça permet d'avoir une ipv4 sans pppoe
option authsend code 90 = string;
option authsend 00:00:00:00.........etc;
send authsend;
Sauf qu'en fait il faut faire ça pour envoyer une commande en temps que clientoption authsend code 90 = string;
send authsend 00:00:00:00.........etc;
Je teste ça dès que possible. il faudra juste adapter la séquence hexadécimal et ça devrait le faireA priori il faut définir l'option dans le fichier de config (au niveau global, hors interfaces), du genre:en fait comme ça on définit une option qui sera envoyé en réponse par exemple à une requête (donc plus pour le côté serveur)Code: [Sélectionner]option rfc3118-auth code 90 = string;
puis dans la configuration spécifique de l'interface:Code: [Sélectionner]option rfc3118-auth = xx:xx:xx:xx:xx:xx:.....;
avec xx = valeur entre 0 et 255 (1 octet en fait) en hexa.
Edit: Je viens de voir que c'est ce que tu as fait pour le serveur. Pour moi ça devrait également fonctionner pour le client si je me fie à la doc...
les options dhcp client pour l'ERL sont:Code: [Sélectionner]ubnt@ubnt# set interfaces ethernet eth0 dhcp-options client-option ?
Possible completions:
<text> Additional options for DHCP client. You must
use the syntax of dhclient.conf in this text-field. Using this
without proper knowledge may result in a crashed DHCP client.
Check system log to look for errors.
par exemple pour le bypass des Neufbox (SFR) on utilise (si eth1 est branché sur l'ONT):Code: [Sélectionner]set interfaces ethernet eth1 dhcp-options client-option "send vendor-class-identifier "neufbox6-votre.email@email.com";"
A priori, il faudrait une option supportée par dhclient.conf(5) (voir dhcp-options(5)), c'est a dire le client ISC-DHCP qui , a priori ne supporte pas l'option 90 (le nom n'est pas définit dans le tableau des options supportées... y'a pas d'option générique pour mettre '90' en dur a ma connaissance).
Donc je le sens mal la ... ca va etre coton avec nos ERL & Orange...il va surement falloir bidouiller pour installer un autre client DHCP.
$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";
$output .= "option rfc3118-auth code 90 = string;\n\n";
set interfaces ethernet eth1 dhcp-options client-option "send rfc3118-auth xx:xx:xx:xx:xx:.....;"
#!/bin/bash
USERNAME=$1
AUTHSTRING=00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f
for (( i=0; i<${#USERNAME}; i++ )); do
HEXCHAR=$(echo -n ${USERNAME:$i:1} | od -An -txC | xargs)
AUTHSTRING=${AUTHSTRING}:${HEXCHAR}
done
echo ${AUTHSTRING}
root@gateway:/config/scripts# ./generator.sh 7kgtyop
00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:37:6b:67:74:79:6f:70
Bon j'ai réussi à obtenir une ipv6, mais impossible de réussir à faire la même chose avec dhclient-isc je ne sais pas pourquoi mes options ne passe qu'en ipv4 pas en v6. Quelqu'un a une idée?
ethernet eth1 {
address dhcp
description ONT
duplex auto
speed auto
vif 832 {
description "Internet + TOIP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;"
client-option "request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:6 1:0 2:2 3:3 4:4 5:4 6:6 7:7"
}
...
}
la priorité doit être de 6 sur le vlan832 (la box fait d’ailleurs passer la voip sur ce même vlan)Est-ce que le problème de débit montant ne viendrait pas de là ?
Autre soucis le débit montant est très ralenti ce qui n'est pas le cas ni en pppoe ni avec la livebox en dhcp.
faut-il toujours les 2 autres options (vendor-class-identifier et user-class) ?Je ne sais pas, elles apparaissent dans les captures Wireshark sur le port WAN de la Livebox...
il manque un "address dhcp" dans le block de vif 832.Effectivement, corrigé. Merci.
faut-il toujours les 2 autres options (vendor-class-identifier et user-class) ?
il manque un "address dhcp" dans le block de vif 832.
Est-ce que le problème de débit montant ne viendrait pas de là ?Possible mais les requêtes DHCP de la box sont elles en priorité 6. Je rebrancherai la box demain pour voir ce que disent les autres paquets. Mais pareil que toi je ne sait pas du tout comment configurer une priorité particulière pour certain paquet.
J'avoue que je ne suis pas très au fait de cette histoire de priorité sur les VLANs, mais dans ta config tout le traffic se retrouve avec la priorité 6 (Voice < 10 ms latency and Jitter). Peut-être que ce n'est que le traffic téléphonie qui doit avoir la priorité 6 et pas le reste ? (mais comment on configure ça, je n'en n'ai aucune idée).
iptables -t mangle -I POSTROUTING -o eth1.832 -m dscp --dscp-class EF -j CLASSIFY --set-class 0:6
cette exemple marque les paquets qui ont un DSCP a EF en skb 0:6 (qui lui sortira en 802.1p CS 6). iptables -t mangle -I POSTROUTING -o eth1.832 -p udp --dport 68 -j CLASSIFY --set-class 0:6
Même problématique ici sur pfsense qui marchait jusqu'alors très bien en PPPoE sur vlan 835.
Chain POSTROUTING (policy ACCEPT 1268 packets, 279K bytes)
pkts bytes target prot opt in out source destination
0 0 CLASSIFY udp -- * * 0.0.0.0/0 0.0.0.0/0 udp dpt:67 CLASSIFY set 0:6
iptables -t mangle -I POSTROUTING -o eth0.832 -m dscp --dscp-class EF -j CLASSIFY --set-class 0:5
ip6tables -t mangle -A POSTROUTING -o eth0.832 -p ipv6-icmp -j CLASSIFY --set-class 0:6
for i in 0 1 2 3 4 5 6 7; do
vconfig set_egress_map eth0.832 $i $i >/dev/null
done
Si je ne le fait pas un coup d'oeil à la table du vlan n'indique aucune configurationEst-ce que la Target CLASSIFY désactive l'offload sur l'ERL... Auquel cas ça va être problématique car on va se retrouver avec des perfs pourries.Pour info j'ai posté la question sur le forum d'Ubiquiti (https://community.ubnt.com/t5/EdgeMAX/802-1p-tagging-CLASSIFY-iptables-target-and-offload/m-p/1412967)
Il faut que je me renseigne sur ce point...
Pourtant la commande semble être ok puisque avec celle ci j'ai pu changer la priorité des paquets http.
L'autre solution consiste peut-être a tagguer par défaut avec la priorité 6 puis de tagguer tout le reste du traffic (hors VOIP) avec la priorité 0 explicitement...
En attendant j'ai un script qui passe toutes les priorités à 6 juste avant de démarrer les requêtes DHCP puis reviens au prio normal ça devrait tenir le temps d'améliorer tout ça.Et pour le renouvellement de bail (sans redémarrer dhclient donc), ça marche aussi ?
on dirait donc plus une histoire de raw sockets (sockets qui ne passe pas par netfilter donc pas par iptables).
il est probable donc que ton client dhcp utilise directement des raw sockets plutot que des sockets IP normaux.
Ca voudrait qu'il faut configurer le marquage QoS dans le client DHCP si c'est prévu ou le patcher si c'est pas prévu.
- La priorité est-elle nécessaire ?
- PPPoE est-il coupé définitivement ?
Ce que je note c'est que mnt, qu'il y a du DHCP, le panel de routeurs configurablent devrait s'élargirOuais, enfin vu le bordel que c'est au niveau du tagging 802.1p, c'est pas gagné, c'est sans doute encore moins commun qu'un serveur PPPoE sur un routeur du commerce pour le grand public...
Ouais, enfin vu le bordel que c'est au niveau du tagging 802.1p, c'est pas gagné, c'est sans doute encore moins commun qu'un serveur PPPoE sur un routeur du commerce pour le grand public...Dsl j'ai dit une connerie :o
J'ai comme l'impression que Ubiquiti vas devoir être réactif sur ce coup non ?y' a pas urgence.
Tout ce que tu dis est juste.
Mais faut bien se rendre compte que même si l'on a plus besoin de nater, le tag à la volée des entêtes ethernet va nécessiter au moins le même type d'offload que du nat, il est quasiment certain que les perfs vont s'effondrer si l'asic n'est pas capable d'offloader le 802.1p.
Personne n'a été demander sur le forum Edgemax ?
Zoc a ouvert un topic: https://community.ubnt.com/t5/EdgeMAX/802-1p-tagging-CLASSIFY-iptables-target-and-offload/m-p/1412967
Sinon concernant la modif de vyatta-interfaces.pl, j'ai crée une suggestion pour les "custom options DHCP", il faudrait des votes pour qu'elle soit pris en considération:
https://community.ubnt.com/t5/EdgeMAX-Feature-Requests/custom-DHCP-client-options/idi-p/1413360 (désolé j'ai foiré l'édition du post c'est mal présenté).
Au besoin on pourra faire d'autres suggestions quand on saura ce qui marche/marche pas.
iptables ca me donne mal au crane a chaque fois que je touche a ce truc :PMais il y a des mecs qui n'hésitent pas ce reposer sur ce machin imbitable pour la sécurité de leur réseau, hihihi.
- Baisse drastique du débit, je suis passé de 100mbits à 30mbits...Je suis presque certain que c'est à cause du traffic internet qui n'est pas en priorité 0, et Orange de son coté fait du trafic shaping sur les priorités autres que 0...
send vendor-class-identifier = "sagem";
option userclass code 77 = string;
send userclass 2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:33;
option authsend code 90 = string;
#send authsend "fti/xxxxxx";
send authsend 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:32:4a:8a:88:11:22:11;
ifconfig vlan832 create vlan 832 vlandev vr1 up
vlan 832 vlandev vr1 up
description "VLAN DATA Orange"
/usr/local/sbin/dhclient -cf /etc/dhclient.conf vlan832
wan_iface="vlan832"
table <lan_v4> { 192.168.1.0/24 172.16.9.0/23 }
block log # block stateless traffic
pass keep state # establish keep-state
block in log quick on $wan_iface inet proto tcp to port { ssh http }
block in log quick on $wan_iface inet proto udp to port { syslog domain }
pass out quick on $wan_iface inet from <lan_v4> nat-to ($wan_iface) set prio 6 keep state
zoc: si je tag zéro le TCP semble ne plus avoir de réponse, je vais faire un peu de sniff ce soir voir ce qui est réellement envoyé.Etrange, @zommak avait le même problème d'upload en tagguant à 6, qu'il a résolu en tagguant à 0...
Tout simplement parce qu'avec les raw sockets tu peux faire autre chose que de l'IP sur Ethernet. iptables, ça marche avec de l'IP seulement....Je sais bien, mais je ne pensais pas qu'il y avait un lien entre les sockets et netfilter, ça semble complètement délirant a priori.
D'où je tiens ça ? Les dizaines de publications disponible en googleisant "raw socket iptables", plus l'expérimentation de @zommak, plus d'autres témoignages dans ce fil...Je vais voir alors, c'est un truc énorme pour moi.
On Tue, Mar 25, 2003 at 02:06:59AM -0500, Ethan Dameron wrote:http://lists.netfilter.org/pipermail/netfilter-devel/2003-March/010826.html
> If I have a an IP datagram in userspace and I send it via a raw socket
> created with socket(PF_INET, SOCK_RAW, IPPROTO_RAW) using the send()
> system call, will this packet traverse the netfilter chains?
No. Raw sockets bypass the TCP/IP stack. Netfilter hooks, and
consequently iptables, sit inside the IP stack.
Another effect of the same occurrence is that, even if your iptables
rules drop packets, you can still see them with tcpdump / ethereal.
Mais effectivement, c'est pour moi une faille dans le système: Rien n'empêche d'implèmenter IP et TCP en userland au dessus des raw sockets et de passer à travers le firewall. La seule restriction étant que les raw sockets ne sont utilisables qu'avec l'id 0 (root), ce qui mitige quand même le risque...Non, CAP_NET_RAW. C'est pas tout à fait pareil.
Effectivement tu tag bien la prio 0 après avoir initié la connexion DHCP? sinon celle ci ne pourra pas se faire.Non rien n'est tagué comme tu peux le voir dans la configuration PF que j'ai citée. Les paquets partent avec la priorité vlan par défaut sous OpenBSD (je n'ai pas regardé encore pour DHCP mais c'est 3 pour le trafic classique à ce que j'ai pu voir)
wan_iface="vlan832"
table <lan_v4> { 192.168.1.0/24 172.16.9.0/23 }
block log # block stateless traffic
pass keep state # establish keep-state
block in log quick on $wan_iface inet proto tcp to port { ssh http } # Block ssh and http from WAN
block in log quick on $wan_iface inet proto udp to port { syslog domain } # Block DNS and syslog from WAN
# Tag packets on wan interface with vlan priority 0 (1 in PF because of 802.1p)
match out on $wan_iface inet proto tcp set prio 1
# nat clients to wan interface
pass out quick on $wan_iface inet from <lan_v4> nat-to ($wan_iface) keep state
Ok j'ai trouvé, la norme 802.1p définit une inversion de prio 1 et prio 0 pour taguer les packets.
Voici la configuration actuelle permettant de faire tout dans les règles de l'art et qui fonctionne parfaitement de mon côté (eh oui PF c'est carrèment mieux que les trucs crado avec netfilter :D).
C'est le PF le plus simple avec une bonne sécurité pour le routeur OpenBSD. Pour rappel PacketFilter est stateful, donc seul les entrées autorisées d'un côté pourront revenir d'un autre. Il faut encore que j'affine cela pour avoir un bon filtrage pour l'IPv6 mais les hosts IPv4 sont bien protégés et le routeur n'a que SSH et HTTP d'actifs.Code: [Sélectionner]wan_iface="vlan832"
table <lan_v4> { 192.168.1.0/24 172.16.9.0/23 }
block log # block stateless traffic
pass keep state # establish keep-state
block in log quick on $wan_iface inet proto tcp to port { ssh http } # Block ssh and http from WAN
block in log quick on $wan_iface inet proto udp to port { syslog domain } # Block DNS and syslog from WAN
# Tag packets on wan interface with vlan priority 0 (1 in PF because of 802.1p)
match out on $wan_iface inet proto tcp set prio 1
# nat clients to wan interface
pass out quick on $wan_iface inet from <lan_v4> nat-to ($wan_iface) keep state
J'ai du découper le set prio, ca a permi de corriger le pb et ca ne s'applique que sur TCP ici, je pense qu'un 2e match out qui ignore le port bootpc devrait faire l'affaire pour ceux qui aiment UDP :)
Voici le bench actuel, c'est très satisfaisant
(https://www.speedtest.net/result/4865592386.png)
En ce qui concerne l'IP je note que j'ai la même depuis plus de 24 heures
Je valide donc ma configuration avec OpenBSD, très simple avec juste le paquet isc-dhcp-client
Je commence les tests IPv6 avec dibbler bientôt et s'il faut à terme je filerai une image OpenBSD de mon routeur (sans les ID bien sûr) pour ceux qui veulent se monter ca sur un routeur (j'ai une alix board 2d13 en l'occurence)
J'ai du découper le set prio, ca a permi de corriger le pb et ca ne s'applique que sur TCP ici, je pense qu'un 2e match out qui ignore le port bootpc devrait faire l'affaire pour ceux qui aiment UDP :)
wan_iface="vlan832"
table <lan_v4> { 192.168.1.0/24 172.16.9.0/23 }
# Persist table to change it with dibbler and don't flush it on firewall modification
table <lan_v6> persist
block log # block stateless traffic
pass keep state # establish keep-state
block in log quick on $wan_iface inet proto tcp to port { ssh http } # Block ssh and http from WAN
block in log quick on $wan_iface inet proto udp to port { syslog domain } # Block DNS and syslog from WAN
block in log quick on $wan_iface inet6 proto tcp to port { ssh http } # Block ssh and http from WAN
block in log quick on $wan_iface inet6 proto udp to port { syslog domain } # Block DNS and syslog from WAN
block in log quick on $wan_iface inet6 to <lan_v6> # Block incoming IPv6 trafic non sollicited by local LAN hosts
# Tag every TCP packets on wan interface with vlan priority 0 (1 in PF because of 802.1p), in IPv4 & IPv6
match out on $wan_iface proto { tcp udp } set prio 1
# nat clients to wan interface in IPv6
pass out quick on $wan_iface inet from <lan_v4> nat-to ($wan_iface) keep state
pass out quick on $wan_iface inet6 from <lan_v6> keep state
interface "vlan832" {
send dhcp-class-identifier "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send option-90 00:00:00:00:00:00:00:00:00:00:00:66:74:69:XX:XX:XX:XX:XX:XX:XX:XX;
}
echo "dhclient vlan832&" >> /etc/rc.local
downlink-prefix-ifaces "none"
script "/etc/dibbler/rtadvd.sh"
iface "vlan832" {
pd
option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:xxxx
66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:xx:xx:xx:xx:xx:xx:xx:xx:xx
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:xx:xx:xx:xx:xx:xx:xx:xx:xx
}
Tout comme sous Linux, il est obligatoire d'avoir 2x l'option 11default fe80::ba0:bab%vlan832 UG 0 13235 - 56 vlan832
#! /bin/sh
if [ $SRV_MESSAGE = "REPLY" ]; then
cat >/etc/rtadvd.conf <<EOF
vether0:\\
:addr="${PREFIX1}":prefixlen#64:
EOF
# Set rtadvd starting flags, adding prefix to PF for setting the correct firewall outgoing rules
rcctl set rtadvd flags " vether0"
pfctl -t lan_v6 -T flush
pfctl -t lan_v6 -T add "${PREFIX1}/64"
# restart rtadvd
for P in $(pgrep rtadvd); do
kill ${P}
done
rcctl start rtadvd
block in log quick on $wan_iface inet6 to <lan_v6> # Block incoming IPv6 trafic non sollicited by local LAN hosts
si je lit bien ca bloque tout meme ICMPv6 (y'a qu'un match sur des adresses et pas le contenu) ?En IPv6 il n'y a pas de fragmentation en cours d'acheminement.Et en IPv4 tu vois beaucoup de paquets fragmentables?
firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
hello-time 2
max-age 20
priority 32768
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.2.1/24
description LIVEBOX
duplex auto
speed auto
vif 835 {
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth1 {
description Internet
duplex auto
speed auto
vif 835 {
address dhcp
description FTTH
pppoe 0 {
default-route auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
mtu 1492
name-server auto
password xxxxxxx
user-id fti/xxxxxx
}
}
vif 838 {
bridge-group {
bridge br0
}
description TV
}
vif 840 {
bridge-group {
bridge br0
}
description TV
}
vif 851 {
bridge-group {
bridge br0
}
description VoIP
}
}
ethernet eth2 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth3 {
duplex auto
poe {
output off
}
speed auto
}
ethernet eth4 {
duplex auto
poe {
output off
}
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.1.1/24
description SWITCH
mtu 1500
switch-port {
interface eth2
interface eth3
interface eth4
}
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface switch0
lan-interface eth1
lan-interface eth0
rule 1 {
description Domoticz
forward-to {
address 192.168.1.18
port 8088
}
original-port 8088
protocol tcp_udp
}
rule 2 {
description VHS(http)
forward-to {
address 192.168.1.22
port 8089
}
original-port 8089
protocol tcp_udp
}
rule 3 {
description VHS(https)
forward-to {
address 192.168.1.22
port 4443
}
original-port 4443
protocol tcp_udp
}
rule 4 {
description QNAP(https)
forward-to {
address 192.168.1.3
port 5443
}
original-port 5443
protocol tcp_udp
}
rule 5 {
description QNAP(http)
forward-to {
address 192.168.1.3
port 8880
}
original-port 8880
protocol tcp_udp
}
rule 6 {
description EDGE
forward-to {
address 192.168.1.1
port 443
}
original-port 443
protocol tcp_udp
}
wan-interface pppoe0
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.22 {
stop 192.168.2.200
}
}
}
shared-network-name SWITCH {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
static-mapping BureauA {
ip-address 192.168.1.92
mac-address d8:cb:8a:50:0a:83
}
static-mapping NICOQNAP {
ip-address 192.168.1.3
mac-address 00:08:9b:f3:4a:ea
}
static-mapping PS3 {
ip-address 192.168.1.20
mac-address 44:94:fc:a4:2f:7b
}
static-mapping VHS {
ip-address 192.168.1.22
mac-address 6c:62:6d:b3:eb:d8
}
static-mapping raspberrypi {
ip-address 192.168.1.18
mac-address b8:27:eb:33:b7:97
}
}
}
}
dns {
dynamic {
interface pppoe0 {
service dyndns {
host-name xxxxxxx.ddns.net
login xxxxxx
password xxxxxxx
}
}
}
forwarding {
cache-size 1000
listen-on eth0
listen-on switch0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
outbound-interface pppoe0
type masquerade
}
}
pppoe-server {
authentication {
local-users {
username fti/xxxxxxx {
password xxxxxxx
}
}
mode local
}
client-ip-pool {
start 192.168.2.210
stop 192.168.2.220
}
dns-servers {
server-1 80.10.246.2
server-2 80.10.246.129
}
interface eth0.835
mtu 1492
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on switch0
nat-pmp enable
secure-mode disable
wan pppoe0
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Franchement, je n'ai pas compris pourquoi il t'a demandé de poster ici...
Même si il s'avérait que DHCP est déjà disponible pour toi, ça ne change rien à l'ancien fonctionnement en PPPoE. Personnellement, une connexion PPPoE qui tombe, je regarderais du coté de la qualité des cables Ethernet...
En tout cas rien à voir avec DHCP...
Franchement, je n'ai pas compris pourquoi il t'a demandé de poster ici...
Bonjour,Merci quand même BM92, c'est gentil de m'aider
Parce que je pensais qu'il avais modifier sa config pour le futur IPV6
Si c'est pas le cas alors désoler :-\
Pourquoi vous ne faites pas une capture de ce que la Livebox fait plutôt que de tâtonner ... la base des bypass de box c'est de commencer par faire une capture de la vraie box pour ensuite 'reproduire' son comportement.C'est ce que j'avais fait, je voulais juste comprendre pourquoi Nerzhul arrivait à faire des requêtes DHCP sans prio je trouve ça étrange
étrange depuis ce soir dhcpv6 ne fonctionne plus, ca a coupé. Par contre NP pour dhcpv4J'ai aussi un problème sur l'ipv6 depuis quelques jours. je pensais que c'était lié à une de mes modifs mais du coup je me pose des questions. Je vais rebrancher la box pour voir si elle arrive à obtenir le prefixe
#!/bin/bash
LAN=net0
WAN=eth0.832
taille=${#PREFIX1}
taille=$((taille-4))
cat > /etc/radvd.conf << EOF
interface ${LAN}
{
AdvSendAdvert on;
prefix ${PREFIX1:0:taille}10::/64
{
AdvOnLink on;
AdvPreferredLifetime 86400;
AdvValidLifetime 86400;
AdvAutonomous on;
# AdvRouterAddr on;
};
RDNSS ${PREFIX1:0:taille}10::1
{
AdvRDNSSLifetime 30;
};
};
EOF
cat > /etc/dibbler/server.conf << EOF
log-level 8
log-mode short
iface "${LAN}" {
T1 43200
T2 69120
prefered-lifetime 86400
valid-lifetime 86400
option 11 duid 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30
pd-class {
pd-pool ${PREFIX1:0:taille}c0::/58
pd-length 60
}
}
EOF
mv /etc/ip6deconf-new.sh /etc/ip6deconf-old.sh
cat > /etc/ip6conf.sh << EOF
/etc/ip6deconf-old.sh
#ip -6 route flush ${PREFIX1:0:taille}10::
#ip -6 route flush default
#ip -6 addr add ${PREFIX1}1/64 dev ${WAN}
ip -6 route add fe80::ba0:bab dev ${WAN}
ip -6 route add default via fe80::ba0:bab dev ${WAN}
ip -6 route add ${PREFIX1:0:taille}10::/64 dev ${LAN}
ip -6 route add fe80::(remplacer par l'ipv6local de la box) dev net0
ip -6 route add ${PREFIX1:0:taille}c0::/60 via fe80::(remplacer par l'ipv6local de la box) dev ${LAN}
ip -6 addr add ${PREFIX1:0:taille}10::1/64 dev ${LAN}
systemctl restart radvd ##J'utilise systemd pour gérer mes démons et donc pour redemarrer radvd
EOF
cat > /etc/ip6deconf-new.sh << EOF
#ip -6 route flush ${PREFIX1:0:taille}10::
#ip -6 route flush default
#ip -6 addr del ${PREFIX1}1 dev ${WAN}
ip -6 route del fe80::ba0:bab dev ${WAN}
ip -6 route del default via fe80::ba0:bab dev ${WAN}
ip -6 route del ${PREFIX1:0:taille}10:: dev ${LAN}
ip -6 addr del ${PREFIX1:0:taille}10::1/64 dev ${LAN}
EOF
chmod +x /etc/ip6conf.sh
chmod +x /etc/ip6deconf-new.sh
/etc/ip6conf.sh
systemctl restart dibbler-server ##J'utilise systemd pour gérer mes démons et donc pour redemarrer le serveur dibbler
net.ipv6.conf.all.forwarding=1
net.ipv6.conf.all.autoconf=0
net.ipv6.conf.default.autoconf=0
net.ipv6.conf.eth0.autoconf=0
net.ipv6.conf.eth0/832.autoconf=0
net.ipv6.conf.eth1.autoconf=0
net.ipv6.conf.eth1/832.autoconf=0
net.ipv6.conf.lo.autoconf=0
net.ipv6.conf.net0.autoconf=0
net.ipv6.conf.tap0.autoconf=0
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.default.accept_ra = 1
net.ipv6.conf.eth0.accept_ra = 0
net.ipv6.conf.eth0/832.accept_ra = 0
net.ipv6.conf.eth1.accept_ra = 0
net.ipv6.conf.eth1/832.accept_ra = 0
net.ipv6.conf.lo.accept_ra = 1
net.ipv6.conf.net0.accept_ra = 0
net.ipv6.conf.tap0.accept_ra = 0
#!/bin/bash
INTERFACE=(eth0 eth0.832 eth1 eth1.832 net0 tap0 wlan0)
for i in 0 1 2 3 4 5 6; do
ifconfig ${INTERFACE[i]} down
ifconfig ${INTERFACE[i]} up
done
option dhcp6.auth code 11 = string;
option dhcp6.vendorclass code 16 = string;
option dhcp6.userclass code 15 = string;
send dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;
send dhcp6.userclass 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
send dhcp6.auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*;
ip6tables -t mangle -A POSTROUTING -o eth0.832 -p udp --dport 547 -j DSCP --set-dscp-class CS6
Edit : en DHCP ipv4 c'est bon , reste la partie ipv6 ..... là je galère
iface "eth0.832" {
pd ### on demande une délégation de prefix ipv6 (c'est un /56)
option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*
option 11 hex 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*
}
pfsense tourne sur un i5-2500 (3.3Ghz), 4 Go de ram , carte dual NIC intel pro-1000
Avec pfSense ça marche en DHCP ipv4 mais avec des débits tres bas ..... j'arrive pas a améliorer ça
Salut
Il y a moyen que tu fasses une capture d'écran de la config WAN pour les options DHCP, etc. sous pfsense ?
Ou encore mieux un copié/colle du nom du champ + la valeur associé ?
Merci !!
Bonjour,
Il me semble fournit les sources (sauf ceux de U-Boot) :
- ERL : https://www.ubnt.com/download/edgemax/edgerouter-lite/default/er-e100v1704783374tar (https://www.ubnt.com/download/edgemax/edgerouter-lite/default/er-e100v1704783374tar)
- ERPoE5 : https://www.ubnt.com/download/edgemax/edgerouter-poe/erpoe5/er-e100v1704783374tar (https://www.ubnt.com/download/edgemax/edgerouter-poe/erpoe5/er-e100v1704783374tar)
Si cela peut aider.
*Ubiquiti does not provide downloads of some legacy software and firmware, due to regulatory restrictions and security considerations. It is always recommended that you run the latest software to ensure greatest performance and security. If you require older versions of the software, please email
j'ai changé l'OS de mon ERL pour mettre OpenWRT (ca prend 2 minutes à faire (https://wiki.openwrt.org/toh/ubiquiti/edgerouter.lite)), je vais si y'a moyen de configurer une connexion FTTH Orange DHCP+DHCPv6-PD mais je n'anticipe pas un débit correct vu le manque d'offload.
Dans tout les cas, l'idée est de trouver une solution pour nos ERL sinon on devra les jeter quand Orange arrêtera le PPPoE (ou si on veut absolument IPv6 des maintenant)...
- l'OS d'origine d'Ubiquiti avec offload - impossible ou alors très complexe à faire
Mais j'ai beaucoup de doutes et il faudrait aussi commencer a regarder les autres routeurs du marché car l'ERL est peut être dépassé la.
Ubiquiti n'est pas capable de nous pondre un truc qui tienne la route ?Ubiquiti ne va surement pas faire d'efforts uniquement pour des clients d'Orange...
Après faut voir comment orange fait sa QoS (iptables/classify ? paquets dhcp qui envoie directement la bonne valeur ?)De ce que j'ai pu voir dans les source du kernel de la Livebox 3, c'est probablement un mélange des 2 : Pour ARP et IGMP, skb_priority est mis à la bonne valeur par des patchs du noyau. Pour le reste je n'ai pas vu de modifications spécifiques hormis un patch du code de la target CLASSIFY pour tenir compte du DSCP si j'ai bien compris, ce qui voudrait dire qu'ils l'utilisent également.
Perso, rebrancher la livebox 3, c'est non, vu la stabilité.
echo inet 192.168.1.1 255.255.255.0 >/etc/hostname.cnmac0
echo up >/etc/hostname.cnmac1
echo inet 192.168.2.3 255.255.255.0 >/etc/hostname.cnmac2
echo dhcp vlan 832 vlandev cnmac1 >/etc/hostname.vlan832
echo 'net.inet.ip.forwarding=1' >> /etc/sysctl.conf
interface "vlan832" {
send dhcp-client-identifier 01:00:37:b7:xx:xx:xx; # @MAC de la livebox
send dhcp-class-identifier "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send option-90 00:00:00:00:00:00:00:00:00:00:00:66:74:69:.....; # fti/... en hexa
request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, option-119, option-90, option-120;
}
rcctl enable dhcpd
rcctl set dhcpd flags cnmac0
puis configuration du serveur DHCP à mettre dans /etc/dhcpd.conf:option domain-name-servers 192.168.1.1;
subnet 192.168.1.0 netmask 255.255.255.0 {
option routers 192.168.1.1;
range 192.168.1.100 192.168.1.200;
}
rcctl enable unbound
configuration serveur DNS à mettre : /var/unbound/etc/unbound.conf# $OpenBSD: unbound.conf,v 1.5 2015/07/19 17:29:42 sthen Exp $
server:
interface: 127.0.0.1
interface: 192.168.1.1
interface: 192.168.2.1
interface: ::1
#do-ip6: no
access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/8 allow
access-control: 192.168.1.0/24 allow
access-control: 192.168.2.0/24 allow
access-control: ::0/0 refuse
access-control: ::1 allow
hide-identity: yes
hide-version: yes
remote-control:
control-enable: yes
control-use-cert: no
control-interface: /var/run/unbound.sock
forward-zone:
name: "." # use for ALL queries
forward-addr: 8.8.8.8 # google.com
(je forward tout sur Google 8.8.8.8 , on peut mettre Orange ou un autre de son choix).pfctl -d
pour le remettre:pfctl -e
pour actualiser dynamiquement si vous changer /etc/pf.conf:pfctl -f /etc/pf.conf
# $OpenBSD: pf.conf,v 1.54 2014/08/23 05:49:42 deraadt Exp $
#
# See pf.conf(5) and /etc/examples/pf.conf
int_if="{ vlan832 cnmac0 }"
wan_iface="vlan832"
table <lan_v4> { 192.168.1.0/24 }
#set block-policy drop
set loginterface egress
set skip on lo0
# Tag every TCP packets on wan interface with vlan priority 0 (1 in PF because of 802.1p), in IPv4 & IPv6
match out on $wan_iface proto { tcp udp } set prio 1
#match out on egress inet from !(egress:network) to any nat-to (egress:0)
pass out quick on $wan_iface inet from <lan_v4> nat-to ($wan_iface) keep state
block all
pass out quick inet
pass in on $int_if inet
# nat clients to wan interface in IPv6
#pass out quick on $wan_iface inet6 from <lan_v6> keep state
j'ai sans doute oublié des trucs mais si vous en arrivez la vous trouverez surement de vous meme :pplink.exe -ssh -pw mdp root@192.168.2.3 "tcpdump -ni vlan832 -s 2000 -w -" | "c:\Program Files\Wireshark\Wireshark.exe" -k -i -
mdp = mot de passe root de l'ERL (configuré lors de l'installation d'openBSD).Bonjour,
dhcp-class-identifier = "sagem", user-class "+FSVDSL_livebox.Internet.softathome.Livebox3", option-90 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:XX:XX:XX:XX:XX:XX:XX
subnet-mask, broadcast-address, routers, dhcp-requested-address, dhcp-server-identifier, dhcp-class-identifier, dhcp-client-identifier, option-90
fonctionne sous pfSense 2.2 trouvable ici
https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-pfsense/msg204130/#msg204130
Sous pfSense 2.2 tu as un champ priority pour les vlan qui n'existe plus sous 2.2.6
Sous pfSense 2.2.6 il faut tagger la priorité 6 au vlan 832
sous l'invite de commande exemple : ifconfig vlan_832 vlanpcp 6
J'ai configuré mon router Mikrotik CCR1009 en DHCPSur le papier il à l'air très intéressant ce routeur (mais c'est pas le même prix que l'ERL), avec des perfs bien au delà du Gb (sur les gros paquets), comme on peut le voir ici: http://routerboard.com/CCR1009-8G-1S-PC
Tu as réglé tes problèmes de débit pour le coup ?
Et tu as fait l'ensemble en éditant le fichier de config.inc ou sur l'interface http (je parle des options dhcp : dhcp-class-identifier) ?
je me pose une question toute bête pour la tv, aucun changement, toujours les vlan 838 et 840 avec les prio et bridgé ?La Livebox n'indique plus que 838...
La Livebox n'indique plus que 838...
Donc à priori, dans le cas d'une configuration sans Livebox, plus besoin du bridge entre 838 et 840, client DHCP à mettre sur ethX.840 au lieu du bridge, et configuration de l'igmpproxy à modifier (ethX.840 devient l'upstream).
De mon côté j'utilise la box en client (uniquement pour le téléphone) et je n'ai absolument pas besoin de de rediriger les ports, j'active simple le NAT vers le sous réseau de la box(il est indépendant du reste de ma configuration) ( a moins que tu parlais vraiment d'ouvrir les ports si tu bloques tout les ports en forwarding)
Pour ce qui est des config de l'option 120, j'ai simplement définit le paramètre manière fixe dans le fichier de configuration. Je suis parti du principe que c'était le genre de paramètre qui n'allaient pas changer tout les deux jours. Et si au pire si ils changent ce ne sera pas long à modifier à la main. Sinon il faudrait fait un script qui régénère le fichier de configuration du serveur DHCP avant de le redémarrer.
Je ne suis plus sûr de moi mais je crois qu'il est également important d'indiquer à la livebox l'adresse des DNS d'orange puisque ce sont les seuls à être capable de résoudre l'adresse des sip serveurs d'orange. (pour les autres clients j'utilise un resolveur DNS hébergé par mon routeur). Pour la prio j'ai une règle mangle, mais je ne suis plus très sûr qu'elle soit nécessaire.
Je vais essayer de faire ça prochainement en même temps que je regarderai si il est toujours indispensable de fixer la prio à 6 pour le dhcp (comme il me semble que tu as réussi à te connecter sans)
Bon j'ai testé à l'instant la prio 6 pour les paquets DHCP m'est toujours indispensable pour avoir une réponse
La prio 5 de la livebox est supprimé par le nat chez moi mais cela ne porte pas à conséquence pour le fonctionnement du téléphone.
donc un flux RTP port 8000 qui arrive sur ton IP public comment ton routeur sait qu'il faut le renvoyer a la livebox ?J'imagine qu'il utilise ip_nat_sip et ip_conntrack_sip d'iptables, qui inspectent automatiquement les paquets SIP préliminaires à l'établissement d'une communication et fait ce qu'il faut pour que les paquets RTP/RTCP arrivent là où il faut (l'ERL le fait aussi par défaut si le module n'est pas exclicitement désactivé).
J'imagine qu'il utilise ip_nat_sip et ip_conntrack_sip d'iptables, qui inspectent automatiquement les paquets SIP préliminaires à l'établissement d'une communication et fait ce qu'il faut pour que les paquets RTP/RTCP arrivent là où il faut (l'ERL le fait aussi par défaut si le module n'est pas exclicitement désactivé).
Par contre question importante, je viens de faire une configuration SANS bridge qui fonctionne aussi bien.Parce que toutes les configs qu'on trouve sur le forum se basent sur l'ancienne architecture où VOD et flux TV multicast étaient sur 2 VLANs différents ?
Parce que toutes les configs qu'on trouve sur le forum se basent sur l'ancienne architecture où VOD et flux TV multicast étaient sur 2 VLANs différents ?
J'avais émis l'hypothèse (je ne sais plus sur quel fil) qu'on pourrait se passer du bridge entre 838 et 840 vu les copies d'écran de configs Livebox en mode DHCP. Tu dois sans doute être le premier à l'avoir testé.
Et franchement c'est une bonne nouvelle pour nous (posssseurs d'ERL) car ça veut dire que l'offload ne sera plus désactivé pour la TV comme c'est le cas actuellement avec le bridge nécessaire.
auto eth0.840
iface eth0.840 inet static
address 192.168.255.254
netmask 255.255.255.255
Sans doute, mais en PPPoE la VOD est sur le 838, donc pas d'autre choix que de bridger si tu veux TV et VOD.
Mais du coup, ça voudrait dire qu'en DHCP, la VOD passe également par le 832 (Internet) ? (Ce n'est pas du multicast donc ca ne peut pas fonctionner avec une IP "au hasard").
Oui Kge3rsen, pour une installation sans livebox
DHCP avec les options qui vont bien sur le vlan 838
IGMP proxy sur le vlan 840
Dam
/etc/dhcp/dhclient.conf line 60: option definitions may only appear in the outermost scope.
option authsend code
^
/etc/dhcp/dhclient.conf line 61: no option named authsend in space dhcp
send authsend 00:
^
/etc/dhcp/dhclient.conf line 62: semicolon expected.
request
^
Listening on LPF/eth0.832/b8:27:eb:18:db:8f
Sending on LPF/eth0.832/b8:27:eb:18:db:8f
Sending on Socket/fallback
DHCPREQUEST on eth0.832 to 255.255.255.255 port 67
DHCPREQUEST on eth0.832 to 255.255.255.255 port 67
^C
interface "eth0.832" {
send vendor-class-identifier = "sagem";
option userclass code 77 = string;
send userclass 2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:33;
option authsend code 90 = string;
send authsend 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;
request subnet-mask, time-offset, routers, host-name, interface-mtu;
}
$output .= "option rfc3118-auth code 90 = string;\n\n";
#
# autogenerated by vyatta-interfaces.pl on Tue Feb 16 17:38:26 CET 2016
#
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
option rfc3118-auth code 90 = string;
interface "eth1.832" {
send host-name "ubnt";
request subnet-mask, broadcast-address, routers, domain-name-servers, domain-name, interface-mtu;
send vendor-class-identifier "sagem";
send dhcp-client-identifier 1:00:37:XX:XX:XX:XX;
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:XX:XX:XX:XX:XX:XX:XX:XX:XX;
request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, option-119, option-90, option-120;
}
le topique de l'ERL c'est la porte de gauche :) ici, c'est les linuxiens, les vrais ! :D. tout ça pour dire que j'ai une vrai debian.
jerem
Ou est le problème ?heuuu, pardon, j'avai mal compris ton intervention ! je pensais que tu me donnais la technique pour le faire dans l'ERL, mes excuses vraiment !! :) je test ça et reviens dire si ça à fonctionné !!
Ce fichier existe bien dan l'ERL non ?
Ben finalement j'ai mis une debian dans mon ERL... je me suis fait un peu peur, j'ai éventré la bête et j'ai acheté une clé usb...
C'est debwrt en fait, mais je pense pas que je vais utiliser la surcouche debwrt/openwrt, plutôt configurer tout tranquillement à la main...
L'install est finalement trop facile, j'ai fait un mix entre openwrt et debwrt, juste avec la clé usb, sans cable console, et ça a fini par marcher...
Bon, pour l'instant je suis connecté sur le port eth0 configuré manuellement, j'ai une jessie de base finalement, je vous tiens au courant...
root@debwrt:~# iperf3 -c 3.testdebit.info -R
Connecting to host 3.testdebit.info, port 5201
Reverse mode, remote host 3.testdebit.info is sending
[ 4] local XX.XX.XX.XX port 53658 connected to 62.34.91.3 port 5201
[ ID] Interval Transfer Bandwidth
[ 4] 0.00-1.00 sec 50.0 MBytes 419 Mbits/sec
[ 4] 1.00-2.00 sec 83.8 MBytes 704 Mbits/sec
[ 4] 2.00-3.00 sec 95.2 MBytes 799 Mbits/sec
[ 4] 3.00-4.00 sec 95.5 MBytes 802 Mbits/sec
[ 4] 4.00-5.00 sec 73.5 MBytes 616 Mbits/sec
[ 4] 5.00-6.00 sec 97.6 MBytes 819 Mbits/sec
[ 4] 6.00-7.00 sec 94.4 MBytes 790 Mbits/sec
[ 4] 7.00-8.01 sec 96.2 MBytes 800 Mbits/sec
[ 4] 8.01-9.00 sec 75.1 MBytes 637 Mbits/sec
[ 4] 9.00-10.00 sec 85.5 MBytes 716 Mbits/sec
- - - - - - - - - - - - - - - - - - - - - - - - -
[ ID] Interval Transfer Bandwidth Retr
[ 4] 0.00-10.00 sec 851 MBytes 714 Mbits/sec 280 sender
[ 4] 0.00-10.00 sec 847 MBytes 710 Mbits/sec receiver
iperf3 -B 192.168.1.1 -c 3.testdebit.info -R
(ajuster 192.168.1.1 a l'IP lan de l'ERL).
rien d'étonnant c'est le debit 'lien wan uniquement', le flux ne traverse pas le routeur.Effectivement :)
En fait donc c'est 100% de la config a la main comme sur un Linux de base. Je ne pense donc pas insister plus, y'a peu d’intérêt pour le moment. Je reviendrai sur une config OpenWrt pour l'ERL si ca n'abouti avec Ubiquiti (et l'offload donc) pour le fonctionnement avec Orange.
Le problème c'est que les paquets envoyé par le client DHCP ne passent pas au travers d'iptables, (une histoire de raw socket)
J'ai un WRT1900AC sur OpenWRT. En pratique, le routeur en DHCP fait du NAT en linerate (testé à 940Mbps et des brouettes) mais je suis encore bloqué au stade IPv4 PPPoE + Tunnel 6in4 Hurricane Electric. Cela me donne des débits pourris autours de 300-400Mbps en IPv4 et 150-200Mbps en IPv6 à cause des différents overhead un peu partout. J'aimerais donc passer en DHCP/DHCPv6 mais je n'ai pas encore eu l'occasion de péter la connexion de mon foyer pour plusieurs heures(jours?) le temps de tester et d'arriver à un truc fonctionnel. As tu réussi à quelque chose d'approchant avec ton ERL ?
ISC-DHCP et dhcpd sont censés ouvrir un socket udp classique dit de fallback. Dans tout les cas, même si le raw socket ne reçois pas de réponse après son DHCPDISCOVER car en mauvaise prio CoS, le socket udp de secours devrait fonctionner et se voir appliquer les modifications par iptables (et donc recevoir un DHCPOFFER).
Le probleme c'est pas la reception mais l'envoi.
Mais a priori ce n'est pas nécessaire d'envoyé en pri 6. Chez moi ca marche ainsi que chez d'autres. Y'a que zommak qui n'y arrive pas avec sa config et est obligé de tagger en pri 6.
#!/bin/bash
for i in 0 1 2 3 4 5 6 7; do
ONT=wan0.832
## on définit pour chaque file une priorité
vconfig set_egress_map $ONT $i $i >/dev/null
done
## On modifie la priorité de la file 1 à 0 c'est là qu'on renverra tout nos paquets, la file 0 qui est celle par défaut passe à 6
vconfig set_egress_map $ONT 1 0 >/dev/null
vconfig set_egress_map $ONT 0 6 >/dev/null
vconfig add wan0 832
et de lancer le dhclient avec les bonnes options ? oui faut juste le vconfig par defaut (pas d'egress-map).
root@routeurlinux:~# vconfig add wan0 832
Added VLAN with VID == 832 to IF -:wan0:-
root@routeurlinux:~# dhclient wan0.832
Internet Systems Consortium DHCP Client 4.3.3
Copyright 2004-2015 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on LPF/wan0.832/34:64:a9:9a:68:05
Sending on LPF/wan0.832/34:64:a9:9a:68:05
Sending on Socket/fallback
DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 6
DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 11
DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 11
DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 17
^C
root@routeurlinux:~# dhclient wan0.832
Internet Systems Consortium DHCP Client 4.3.3
Copyright 2004-2015 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on LPF/wan0.832/34:64:a9:9a:68:05
Sending on LPF/wan0.832/34:64:a9:9a:68:05
Sending on Socket/fallback
DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 4
DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 7
^C
root@routeurlinux:~# ifup wan0.832
Internet Systems Consortium DHCP Client 4.3.3
Copyright 2004-2015 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on LPF/wan0.832/34:64:a9:9a:68:05
Sending on LPF/wan0.832/34:64:a9:9a:68:05
Sending on Socket/fallback
DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 7
DHCPREQUEST of 90.78.xxx.xxx on wan0.832 to 255.255.255.255 port 67
DHCPOFFER of 90.78.xxx.xxx from 90.78.106.1
DHCPACK of 90.78.xxx.xxx from 90.78.106.1
Reloading /etc/samba/smb.conf: smbd.
bound to 90.78.xxx.xxx -- renewal in 33366 seconds.
380 bytes captured (3040 bits) on interface 0
Interface id: 0 (eth2)
Encapsulation type: Ethernet (1)
Arrival Time: Feb 19, 2016 17:16:21.677246128 CET
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1455898581.677246128 seconds
[Time delta from previous captured frame: 14.247606792 seconds]
[Time delta from previous displayed frame: 14.247606792 seconds]
[Time since reference or first frame: 29.323876886 seconds]
Frame Number: 5
Frame Length: 380 bytes (3040 bits)
Capture Length: 380 bytes (3040 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ethertype:vlan:ethertype:ip:udp:bootp]
Ethernet II, Src: HewlettP_xx:xx:xx (xx:xx:xx:xx:xx:xx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Destination: Broadcast (ff:ff:ff:ff:ff:ff)
Address: Broadcast (ff:ff:ff:ff:ff:ff)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
Source: HewlettP_xx:xx:xx (xx:xx:xx:xx:xx:xx)
Address: HewlettP_xx:xx:xx (xx:xx:xx:xx:xx:xx)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 832
000. .... .... .... = Priority: Best Effort (default) (0)
...0 .... .... .... = CFI: Canonical (0)
.... 0011 0100 0000 = ID: 832
Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
0100 .... = Version: 4
.... 0101 = Header Length: 20 bytes
Differentiated Services Field: 0x10 (DSCP: Unknown, ECN: Not-ECT)
0001 00.. = Differentiated Services Codepoint: Unknown (4)
.... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
Total Length: 362
Identification: 0x0000 (0)
Flags: 0x00
0... .... = Reserved bit: Not set
.0.. .... = Don't fragment: Not set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: UDP (17)
Header checksum: 0x3974 [validation disabled]
[Good: False]
[Bad: False]
Source: 0.0.0.0
Destination: 255.255.255.255
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
Source Port: 68
Destination Port: 67
Length: 342
Checksum: 0xc3cd [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
[Stream index: 0]
Bootstrap Protocol (Discover)
Message type: Boot Request (1)
Hardware type: Ethernet (0x01)
Hardware address length: 6
Hops: 0
Transaction ID: 0xbac8252c
Seconds elapsed: 0
Bootp flags: 0x0000 (Unicast)
0... .... .... .... = Broadcast flag: Unicast
.000 0000 0000 0000 = Reserved flags: 0x0000
Client IP address: 0.0.0.0
Your (client) IP address: 0.0.0.0
Next server IP address: 0.0.0.0
Relay agent IP address: 0.0.0.0
Client MAC address: HewlettP_xx:xx:xx (xx:xx:xx:xx:xx:xx)
Client hardware address padding: 00000000000000000000
Server host name not given
Boot file name not given
Magic cookie: DHCP
Option: (53) DHCP Message Type (Discover)
Length: 1
DHCP: Discover (1)
Option: (50) Requested IP Address
Length: 4
Requested IP Address: 90.78.xxx.xxx
Option: (55) Parameter Request List
Length: 5
Parameter Request List Item: (1) Subnet Mask
Parameter Request List Item: (2) Time Offset
Parameter Request List Item: (3) Router
Parameter Request List Item: (12) Host Name
Parameter Request List Item: (26) Interface MTU
Option: (90) Authentication
Length: 22
Protocol: configuration token (0)
Algorithm: 0
Replay Detection Method: Monotonically-increasing counter (0)
RDM Replay Detection Value: 0x0000000000000000
Authentication Information: fti/xxxxxxx
Option: (60) Vendor class identifier
Length: 5
Vendor class identifier: sagem
Option: (77) User Class Information
Length: 44
Instance of User Class: [0]
User Class Length: 43
User Class Data: 46535644534c5f6c697665626f782e496e7465726e65742e...
Option: (255) End
Option End: 255
Frame 4: 380 bytes on wire (3040 bits), 380 bytes captured (3040 bits) on interface 0
Interface id: 0 (eth2)
Encapsulation type: Ethernet (1)
Arrival Time: Feb 19, 2016 17:19:16.540928262 CET
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1455898756.540928262 seconds
[Time delta from previous captured frame: 4.634748866 seconds]
[Time delta from previous displayed frame: 4.634748866 seconds]
[Time since reference or first frame: 16.080839390 seconds]
Frame Number: 4
Frame Length: 380 bytes (3040 bits)
Capture Length: 380 bytes (3040 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ethertype:vlan:ethertype:ip:udp:bootp]
Ethernet II, Src: HewlettP_xx:xx:xx (xx:xx:xx:xx:xx:xx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Destination: Broadcast (ff:ff:ff:ff:ff:ff)
Address: Broadcast (ff:ff:ff:ff:ff:ff)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
Source: HewlettP_xx:xx:xx (xx:xx:xx:xx:xx:xx)
Address: HewlettP_xx:xx:xx (xx:xx:xx:xx:xx:xx)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 6, CFI: 0, ID: 832
110. .... .... .... = Priority: Voice, < 10ms latency and jitter (6)
...0 .... .... .... = CFI: Canonical (0)
.... 0011 0100 0000 = ID: 832
Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
0100 .... = Version: 4
.... 0101 = Header Length: 20 bytes
Differentiated Services Field: 0x10 (DSCP: Unknown, ECN: Not-ECT)
0001 00.. = Differentiated Services Codepoint: Unknown (4)
.... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
Total Length: 362
Identification: 0x0000 (0)
Flags: 0x00
0... .... = Reserved bit: Not set
.0.. .... = Don't fragment: Not set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: UDP (17)
Header checksum: 0x3974 [validation disabled]
[Good: False]
[Bad: False]
Source: 0.0.0.0
Destination: 255.255.255.255
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
Source Port: 68
Destination Port: 67
Length: 342
Checksum: 0x864b [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
[Stream index: 0]
Bootstrap Protocol (Discover)
Message type: Boot Request (1)
Hardware type: Ethernet (0x01)
Hardware address length: 6
Hops: 0
Transaction ID: 0x6c0ab16c
Seconds elapsed: 0
Bootp flags: 0x0000 (Unicast)
0... .... .... .... = Broadcast flag: Unicast
.000 0000 0000 0000 = Reserved flags: 0x0000
Client IP address: 0.0.0.0
Your (client) IP address: 0.0.0.0
Next server IP address: 0.0.0.0
Relay agent IP address: 0.0.0.0
Client MAC address: HewlettP_9a:68:04 (34:64:a9:9a:68:04)
Client hardware address padding: 00000000000000000000
Server host name not given
Boot file name not given
Magic cookie: DHCP
Option: (53) DHCP Message Type (Discover)
Length: 1
DHCP: Discover (1)
Option: (50) Requested IP Address
Length: 4
Requested IP Address: 90.78.xxx.xxx
Option: (55) Parameter Request List
Length: 5
Parameter Request List Item: (1) Subnet Mask
Parameter Request List Item: (2) Time Offset
Parameter Request List Item: (3) Router
Parameter Request List Item: (12) Host Name
Parameter Request List Item: (26) Interface MTU
Option: (90) Authentication
Length: 22
Protocol: configuration token (0)
Algorithm: 0
Replay Detection Method: Monotonically-increasing counter (0)
RDM Replay Detection Value: 0x0000000000000000
Authentication Information: fti/xxxxxxxx
Option: (60) Vendor class identifier
Length: 5
Vendor class identifier: sagem
Option: (77) User Class Information
Length: 44
Instance of User Class: [0]
User Class Length: 43
User Class Data: 46535644534c5f6c697665626f782e496e7465726e65742e...
Option: (255) End
Option End: 255
Il faudrait effectivement le refaire sur l'interface pour qu'on puisse voir la CoS.c'est édité
Après, pour expliquer les différences de comportement, il y a la possibilité de matériels différents chez Orange (OLT, switches, routeurs) et/ou configurations différentes selon la position géographique... Donc peut-être qu'à certains endroits la CoS est nécessaire et pas à d'autres.bizarre tout de même vu que c'est tout neuf ...
La CoS (vlan832) est obligatoire (sur Pau au moins), sinon pas d'ipv4 non plusc'est mon constat également.
Je suis très perplexe sur cette différence de fonctionnement d'une région/zone a l'autre...Moi aussi...
option rfc3118-authentication code 90 = string;
interface "eth0.832" {
send vendor-class-identifier "sagem";
send dhcp-client-identifier 1:00:37:b7:xx:xx:xx;
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:xx:xx:xx:xx:xx:xx:xx:xx;
request subnet-mask, routers, domain-name-servers,
domain-name, broadcast-address, dhcp-lease-time,
dhcp-renewal-time, dhcp-rebinding-time,
rfc3118-authentication;
}
$ sudo dhclient -d eth0.832
Internet Systems Consortium DHCP Client 4.2.4
Copyright 2004-2012 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on LPF/eth0.832/00:26:2d:xx:xx:xx
Sending on LPF/eth0.832/00:26:2d:xx:xx:xx
Sending on Socket/fallback
DHCPDISCOVER on eth0.832 to 255.255.255.255 port 67 interval 3 (xid=0x36e7f001)
DHCPREQUEST of 86.xx.xx.xx on eth0.832 to 255.255.255.255 port 67 (xid=0x1f0e736)
DHCPOFFER of 86.xx.xx.xx from 86.245.184.1
DHCPACK of 86.xx.xx.xx from 86.245.184.1
bound to 86.xx.xx.xx-- renewal in 35078 seconds.
Ethernet II, Src: WistronC_xx:xx:xx (00:xxxxxxxxxxxx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Destination: Broadcast (ff:ff:ff:ff:ff:ff)
Address: Broadcast (ff:ff:ff:ff:ff:ff)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
Source: WistronC_xx:xx:xx (00:xxxxxxxxxxxx)
Address: WistronC_xx:xx:xx (00:xxxxxxxxxxxx)
.... ..0. .... .... .... .... = LG bit: Globally unique address (factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 832
000. .... .... .... = Priority: Best Effort (default) (0)
...0 .... .... .... = CFI: Canonical (0)
.... 0011 0100 0000 = ID: 832
Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
0100 .... = Version: 4
.... 0101 = Header Length: 20 bytes
Differentiated Services Field: 0x10 (DSCP: Unknown, ECN: Not-ECT)
0001 00.. = Differentiated Services Codepoint: Unknown (4)
.... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
Total Length: 377
Identification: 0x0000 (0)
Flags: 0x00
0... .... = Reserved bit: Not set
.0.. .... = Don't fragment: Not set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: UDP (17)
Header checksum: 0x3965 [validation disabled]
[Good: False]
[Bad: False]
Source: 0.0.0.0
Destination: 255.255.255.255
[Source GeoIP: Unknown]
[Destination GeoIP: Unknown]
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
Source Port: 68
Destination Port: 67
Length: 357
Checksum: 0x1566 [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
[Stream index: 1]
Bootstrap Protocol (Discover)
Message type: Boot Request (1)
Hardware type: Ethernet (0x01)
Hardware address length: 6
Hops: 0
Transaction ID: 0x5dcb5665
Seconds elapsed: 0
Bootp flags: 0x0000 (Unicast)
0... .... .... .... = Broadcast flag: Unicast
.000 0000 0000 0000 = Reserved flags: 0x0000
Client IP address: 0.0.0.0
Your (client) IP address: 0.0.0.0
Next server IP address: 0.0.0.0
Relay agent IP address: 0.0.0.0
Client MAC address: WistronC_xx:xx:xx (00:26:2d:xx:xx:xx)
Client hardware address padding: 00000000000000000000
Server host name not given
Boot file name not given
Magic cookie: DHCP
Option: (53) DHCP Message Type (Discover)
Length: 1
DHCP: Discover (1)
Option: (12) Host Name
Length: 6
Host Name: UserPC
Option: (55) Parameter Request List
Length: 9
Parameter Request List Item: (1) Subnet Mask
Parameter Request List Item: (3) Router
Parameter Request List Item: (6) Domain Name Server
Parameter Request List Item: (15) Domain Name
Parameter Request List Item: (28) Broadcast Address
Parameter Request List Item: (51) IP Address Lease Time
Parameter Request List Item: (58) Renewal Time Value
Parameter Request List Item: (59) Rebinding Time Value
Parameter Request List Item: (90) Authentication
Option: (90) Authentication
Length: 22
Protocol: configuration token (0)
Algorithm: 0
Replay Detection Method: Monotonically-increasing counter (0)
RDM Replay Detection Value: 0x0000000000000000
Authentication Information: fti/xxxxxxx
Option: (60) Vendor class identifier
Length: 5
Vendor class identifier: sagem
Option: (61) Client identifier
Length: 7
Hardware type: Ethernet (0x01)
Client MAC address: Sagemcom_xx:xx:xx (00:37:b7:xx:xx:xx)
Option: (77) User Class Information
Length: 44
Instance of User Class: [0]
User Class Length: 43
User Class Data: 46535644534c5f6c697665626f782e496e7465726e65742e...
Option: (255) End
Option End: 255
Frame 1: 395 bytes on wire (3160 bits), 395 bytes captured (3160 bits) on interface 0
Interface id: 0 (eth0)
Encapsulation type: Ethernet (1)
Arrival Time: Feb 20, 2016 11:42:10.362369943 CET
[Time shift for this packet: 0.000000000 seconds]
Epoch Time: 1455964930.362369943 seconds
[Time delta from previous captured frame: 0.000000000 seconds]
[Time delta from previous displayed frame: 0.000000000 seconds]
[Time since reference or first frame: 0.000000000 seconds]
Frame Number: 1
Frame Length: 395 bytes (3160 bits)
Capture Length: 395 bytes (3160 bits)
[Frame is marked: False]
[Frame is ignored: False]
[Protocols in frame: eth:ethertype:vlan:ethertype:ip:udp:bootp]
Ethernet II, Src: 76:5b:**:**:**:** (76:5b:**:**:**:**), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Destination: Broadcast (ff:ff:ff:ff:ff:ff)
Address: Broadcast (ff:ff:ff:ff:ff:ff)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
.... ...1 .... .... .... .... = IG bit: Group address (multicast/broadcast)
Source: 76:5b:**:**:**:** (76:5b:**:**:**:**)
Address: 76:5b:**:**:**:** (76:5b:**:**:**:**)
.... ..1. .... .... .... .... = LG bit: Locally administered address (this is NOT the factory default)
.... ...0 .... .... .... .... = IG bit: Individual address (unicast)
Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 0, CFI: 0, ID: 832
000. .... .... .... = Priority: Best Effort (default) (0)
...0 .... .... .... = CFI: Canonical (0)
.... 0011 0100 0000 = ID: 832
Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
0100 .... = Version: 4
.... 0101 = Header Length: 20 bytes
Differentiated Services Field: 0x10 (DSCP: Unknown, ECN: Not-ECT)
0001 00.. = Differentiated Services Codepoint: Unknown (4)
.... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
Total Length: 377
Identification: 0x0000 (0)
Flags: 0x00
0... .... = Reserved bit: Not set
.0.. .... = Don't fragment: Not set
..0. .... = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: UDP (17)
Header checksum: 0x3965 [validation disabled]
[Good: False]
[Bad: False]
Source: 0.0.0.0
Destination: 255.255.255.255
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
Source Port: 68
Destination Port: 67
Length: 357
Checksum: 0x3252 [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
[Stream index: 0]
Bootstrap Protocol (Discover)
Message type: Boot Request (1)
Hardware type: Ethernet (0x01)
Hardware address length: 6
Hops: 0
Transaction ID: 0x2dab6d6a
Seconds elapsed: 0
Bootp flags: 0x0000 (Unicast)
0... .... .... .... = Broadcast flag: Unicast
.000 0000 0000 0000 = Reserved flags: 0x0000
Client IP address: 0.0.0.0
Your (client) IP address: 0.0.0.0
Next server IP address: 0.0.0.0
Relay agent IP address: 0.0.0.0
Client MAC address: 76:5b:**:**:**:** (76:5b:**:**:**:**)
Client hardware address padding: 00000000000000000000
Server host name not given
Boot file name not given
Magic cookie: DHCP
Option: (53) DHCP Message Type (Discover)
Length: 1
DHCP: Discover (1)
Option: (12) Host Name
Length: 6
Host Name: UserPC
Option: (55) Parameter Request List
Length: 9
Parameter Request List Item: (1) Subnet Mask
Parameter Request List Item: (3) Router
Parameter Request List Item: (6) Domain Name Server
Parameter Request List Item: (15) Domain Name
Parameter Request List Item: (28) Broadcast Address
Parameter Request List Item: (51) IP Address Lease Time
Parameter Request List Item: (58) Renewal Time Value
Parameter Request List Item: (59) Rebinding Time Value
Parameter Request List Item: (90) Authentication
Option: (90) Authentication
Length: 22
Protocol: configuration token (0)
Algorithm: 0
Replay Detection Method: Monotonically-increasing counter (0)
RDM Replay Detection Value: 0x0000000000000000
Authentication Information: fti/*******
Option: (60) Vendor class identifier
Length: 5
Vendor class identifier: sagem
Option: (61) Client identifier
Length: 7
Hardware type: Ethernet (0x01)
Client MAC address: AnovFran_**:**:** (b8:26:6c:**:**:**)
Option: (77) User Class Information
Length: 44
Instance of User Class: [0]
User Class Length: 43
User Class Data: 46535644534c5f6c697665626f782e496e7465726e65742e...
Option: (255) End
Option End: 255
A noter que d'habitude je ne précise même pas le dhcp client identifier(option 61) ni l'hostname (option 12) et je ne précise pas non plus Parameter Request List (option 55) mais cela ne change rien pour moi (ça marche en prio 6 mais pas en prio 0). Faire les tests m'aura au moins permis de voir que l'option user-class remarche sur mon dhclient.Petite question existentielle (ou pas...).je pense qu'il faut un serveur ntp sur ton réseau ... du moin sur la passerelle
Pour ceux qui ont intégré la partie tv, avez vous les décodeurs TV à l'heure ?
Chez moi la tv fonctionne mais les décodeurs ne sont pas à l'heure...
J'ai essayé de rajouter l'option NTP dans le serveur DHCP mais toujours pareil...
je pense qu'il faut un serveur ntp sur ton réseau ... du moin sur la passerelle
La livebox ne fait pas serveur NTP (sous Windows: "w32tm /stripchart /computer:192.168.1.1" donne rien) ou alors sur un port non standard.
peut-etre la config DHCP du décodeur ?
Donc peut-être qu'à certains endroits la CoS est nécessaire et pas à d'autres.
Je confirme : jeudi impossible d'avoir une réponse à ma requète DHCP, mais PPP et IPTV OK. J'ai viré les COS (donc tout à zéro sur le VLAN 832) et ça repart.hmmm, tu avais plus de réponse avec la COS a 6 alors que ça marchait au paravent? si c'est ça, c'est un cas inédit ici c'est le contraire, avec la cos a 0 impossible de recevoir une réponse
eth1.832 VID: 832 REORDER_HDR: 1 dev->priv_flags: 1
total frames received 71471
total bytes received 9972411
Broadcast/Multicast Rcvd 0
total frames transmitted 82558
total bytes transmitted 10282592
Device: eth1
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7
et mon dhcpclient.conf
#
# autogenerated by vyatta-interfaces.pl on Fri Feb 26 20:27:59 CET 2016
#
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
option rfc3118-authentication code 90 = string;
interface "eth1.832" {
send host-name "ubnt";
request subnet-mask, broadcast-address, routers, domain-name-servers, domain-name, interface-mtu;
send vendor-class-identifier = "sagem";
send dhcp-client-identifier 1:voussavezquoi;
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:voussavezquoi;
request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication;
}
configure
edit service dhcpv6-server
Pour la suite il va falloir fouiller dans les options disponibles...Hello,
Pour la configuration de l'IPv6, à quoi (qui?) correspond l'IP " fe80::ba0:bab"?
C'est l'adresse link local du "nexthop", c'est à dire du routeur orange auquel il faut envoyer les paquets IPv6 (la route par défaut quoi...).
Problème, je suis loin d'être certain que cette adresse soit la même pour tout le monde (et qu'elle ne change pas, par exemple si Orange remplace des équipements).
C'est l'équivalent de 193.253.160.3 en ppp, c'est une adresse présente sur tous les routeurs, et qui est bien le next-hop ipv6 des clients. Cette ip n'est pas vouée à changer, elle a été choisie pour être reconnaissable et mémorisable.Cool je peux la mettre en dur dans mon script sans état d'âme :)
Je ne comprends pas, ça veut dire qu'il ne faut pas configurer baobab comme nethop par défaut?
Mhhh sur mon ERL ça ne le faisait pas, y a une conf à setter peut-être?
Les scripts en première page sont faux alors...
config interface 'wan'
option proto 'dhcp'
option vendorid 'sagem'
option sendopts '90:00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:39:xx:xx:xx:xx:xx:xx 77:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:4c:69:76:65:62:6f:78:33'
option ifname 'eth1.832'
hmmm, tu avais plus de réponse avec la COS a 6 alors que ça marchait au paravent?
- La priorité est-elle nécessaire ?
- PPPoE est-il coupé définitivement ?
1) Oui.
2) Non.
Pour DHCP6-PD les options sont grosso modo les mêmes que pour DHCP (vendor id, etc...). Il faut demander un préfixe uniquement (ia-pd) et pas d'adresse (pas d'ia-na donc).
Voir la configuration dibbler-client de @zommak en première page de ce fil. Il n'a pas configuré le DUID, mais par défaut, dibbler en calcule un à partir de l'adresse mac et de la date/heure. Il ne serait donc pas nécessaire d'avoir un DUID particulier pour que ça marche.
Je "ressors" 2 vieux messages de ce fil, @petrus répondant aux questions de @martintamare, car manifestement la réponse à la question "1" semble contredite par l'expérience de plusieurs personnes.
@petrus peut-il nous en dire plus ? :P
OK merci.
Ca s'annonce donc plus compliqué pour l'IPv6 sous OpenWRT car le client DHCPv6 par défaut (odhcp6c) ne gère pas l'option 11 pour l'authent (entre autres choses). Dibbler ne semble plus faire partie des paquets d'OpenWRT (même pas en source), faut que je ressorte la chaine de compilation croisée en espérant que ça compile sans modification.
Je "ressors" 2 vieux messages de ce fil, @petrus répondant aux questions de @martintamare, car manifestement la réponse à la question "1" semble contredite par l'expérience de plusieurs personnes.
@petrus peut-il nous en dire plus ? :P
Tout à fait. C'est d'ailleurs les derniers messages de ce thread qui m'ont mis sur la piste pour rétablir le service.
Autant je peux comprendre que la priorité ne soit pas nécessaire pour avoir une réponse DHCP autant je ne comprend pas pourquoi l'ajout de la priorité enlèverai la possibilité d'avoir une réponse. D'autant que ça impliquerai d'avoir différent comportement de livebox en fonction de la zone. Du coups comment les livebox font pour savoir si elles mettent ou pas la priorité? ça donne l'impression qu'au lieu d'être uniforme chaque zone a ses propres règles.
Tu ne peux pas definir d'option manuellement avec odhcp6c?
t'as trouvé pourquoi il faut mettre 2 fois l'option 11 avec Dibbler ?Oui, comme indiqué dans le premier post, c'est pour la deuxième requête (Request) que c'est nécessaire. A l'occasion, faudra soumettre un rapport de bug.
Je pense que le préfixe change parce que par défaut dibbler calcule le dduid avec la méthode dduid-llt, qui dépend de l'horodatage.C'est ce que j'ai lu aussi à droite à gauche mais malheureusement, j'ai regardé les 2 requêtes dans Wireshark, le DUID était bien le même : l'horodatage restait celui de la première tentative.
Il faudrait essayer en mode dduid-ll, histoire d'avoir un identifiant qui ne change jamais.
$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";
et ajouter juste derrière cette ligne :$output .= "option rfc3118-auth code 90 = string;\n\n";
+ REBOOTset interfaces ethernet eth4 vif 832 dhcp-options client-option "send vendor-class-identifier "sagem";"
set interfaces ethernet eth4 vif 832 dhcp-options client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
set interfaces ethernet eth4 vif 832 dhcp-options client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;"
set interfaces ethernet eth4 vif 832 dhcp-options client-option "request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3118-auth;"
Et voici le bloc de config de l'interface eth4 dans mon cas, après configuration : ethernet eth4 {
description Internet
duplex auto
speed auto
vif 832 {
address dhcp
description ont
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;"
client-option "request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
}
+ un dernier REBOOT pour la ROOT (trop facile celle-là ;)). firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:*:*:*:*:*:*;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*;"
client-option "request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3118-authentication;"
default-route update
default-route-distance 210
name-server update
}
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description "Décodeur TV"
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description ""
forward-to {
address 192.168.1.*
port 3389
}
original-port 3389
protocol tcp
}
rule 2 {
description ""
forward-to {
address 192.168.1.*
port 21
}
original-port 21
protocol tcp
}
rule 3 {
description ""
forward-to {
address 192.168.1.*
port 27618
}
original-port 27618
protocol tcp_udp
}
rule 4 {
description ""
forward-to {
address 192.168.1.*
port 88
}
original-port 88
protocol udp
}
rule 5 {
description ""
forward-to {
address 192.168.1.*
port 3074
}
original-port 3074
protocol tcp_udp
}
rule 6 {
description ""
forward-to {
address 192.168.1.*
port 53
}
original-port 53
protocol tcp_udp
}
rule 7 {
description ""
forward-to {
address 192.168.1.*
port 500
}
original-port 500
protocol udp
}
rule 8 {
description ""
forward-to {
address 192.168.1.*
port 3544
}
original-port 3544
protocol udp
}
rule 9 {
description ""
forward-to {
address 192.168.1.*
port 4500
}
original-port 4500
protocol udp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name LiveboxTV {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
dynamic {
interface eth1.832 {
service dyndns {
host-name *.*.*
login ******
password ************
server dynupdate.no-ip.com
}
}
}
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password *******************
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
host 192.168.1.* {
facility all {
level notice
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Frame 81: 380 bytes on wire (3040 bits), 380 bytes captured (3040 bits) on interface 0
Ethernet II, Src: Sagemcom_xx:xx:xx (00:37:b7:xx:xx:xx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
802.1Q Virtual LAN, PRI: 6, CFI: 0, ID: 832
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
Bootstrap Protocol (Discover)
Message type: Boot Request (1)
Hardware type: Ethernet (0x01)
Hardware address length: 6
Hops: 0
Transaction ID: 0x0cc032e9
Seconds elapsed: 1
Bootp flags: 0x8000, Broadcast flag (Broadcast)
Client IP address: 0.0.0.0
Your (client) IP address: 0.0.0.0
Next server IP address: 0.0.0.0
Relay agent IP address: 0.0.0.0
Client MAC address: Sagemcom_xx:xx:xx (00:37:b7:xx:xx:xx)
Client hardware address padding: 00000000000000000000
Server host name not given
Boot file name not given
Magic cookie: DHCP
Option: (53) DHCP Message Type (Discover)
Length: 1
DHCP: Discover (1)
Option: (55) Parameter Request List
Length: 11
Parameter Request List Item: (1) Subnet Mask
Parameter Request List Item: (3) Router
Parameter Request List Item: (6) Domain Name Server
Parameter Request List Item: (15) Domain Name
Parameter Request List Item: (28) Broadcast Address
Parameter Request List Item: (51) IP Address Lease Time
Parameter Request List Item: (58) Renewal Time Value
Parameter Request List Item: (59) Rebinding Time Value
Parameter Request List Item: (90) Authentication
Parameter Request List Item: (119) Domain Search
Parameter Request List Item: (120) SIP Servers
Option: (60) Vendor class identifier
Length: 5
Vendor class identifier: sagem
Option: (77) User Class Information
Length: 44
Instance of User Class: [0]
Option: (90) Authentication
Length: 22
Protocol: configuration token (0)
Algorithm: 0
Replay Detection Method: Monotonically-increasing counter (0)
RDM Replay Detection Value: 0x0000000000000000
Authentication Information: fti/xxxxxx
Option: (255) End
Option End: 255
Frame 82: 426 bytes on wire (3408 bits), 426 bytes captured (3408 bits) on interface 0
Ethernet II, Src: Alcatel-_dc:fc:eb (84:26:2b:dc:fc:eb), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
802.1Q Virtual LAN, PRI: 7, CFI: 0, ID: 832
Internet Protocol Version 4, Src: 86.245.184.1, Dst: 255.255.255.255
User Datagram Protocol, Src Port: 67 (67), Dst Port: 68 (68)
Bootstrap Protocol (Offer)
Message type: Boot Reply (2)
Hardware type: Ethernet (0x01)
Hardware address length: 6
Hops: 0
Transaction ID: 0x0cc032e9
Seconds elapsed: 1
Bootp flags: 0x8000, Broadcast flag (Broadcast)
Client IP address: 0.0.0.0
Your (client) IP address: 86.245.xxx.xxx
Next server IP address: 80.10.247.176
Relay agent IP address: 80.10.237.69
Client MAC address: Sagemcom_xx:xx:xx (00:37:b7:xx:xx:xx)
Client hardware address padding: 00000000000000000000
Server host name not given
Boot file name not given
Magic cookie: DHCP
Option: (53) DHCP Message Type (Offer)
Length: 1
DHCP: Offer (2)
Option: (54) DHCP Server Identifier
Length: 4
DHCP Server Identifier: 80.10.247.176
Option: (51) IP Address Lease Time
Length: 4
IP Address Lease Time: (86400s) 1 day
Option: (1) Subnet Mask
Length: 4
Subnet Mask: 255.255.248.0
Option: (3) Router
Length: 4
Router: 86.245.184.1
Option: (6) Domain Name Server
Length: 8
Domain Name Server: 80.10.246.136
Domain Name Server: 81.253.149.6
Option: (59) Rebinding Time Value
Length: 4
Rebinding Time Value: (69200s) 19 hours, 13 minutes, 20 seconds
Option: (58) Renewal Time Value
Length: 4
Renewal Time Value: (43200s) 12 hours
Option: (28) Broadcast Address
Length: 4
Broadcast Address: 86.245.191.255
Option: (15) Domain Name
Length: 9
Domain Name: orange.fr
Option: (120) SIP Servers
Length: 42
SIP Server Encoding: Fully Qualified Domain Name (0)
SIP Server Name: sbct3g.PUT.access.orange-multimedia.net
Option: (90) Authentication
Length: 27
Protocol: configuration token (0)
Algorithm: 0
Replay Detection Method: Monotonically-increasing counter (0)
RDM Replay Detection Value: 0x0000000000000000
Authentication Information: dhcpliveboxfr250
Option: (255) End
Option End: 255
Frame 83: 392 bytes on wire (3136 bits), 392 bytes captured (3136 bits) on interface 0
Ethernet II, Src: Sagemcom_xx:xx:xx (00:37:b7:xx:xx:xx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
802.1Q Virtual LAN, PRI: 6, CFI: 0, ID: 832
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
User Datagram Protocol, Src Port: 68 (68), Dst Port: 67 (67)
Bootstrap Protocol (Request)
Message type: Boot Request (1)
Hardware type: Ethernet (0x01)
Hardware address length: 6
Hops: 0
Transaction ID: 0x0cc032e9
Seconds elapsed: 1
Bootp flags: 0x8000, Broadcast flag (Broadcast)
Client IP address: 0.0.0.0
Your (client) IP address: 0.0.0.0
Next server IP address: 0.0.0.0
Relay agent IP address: 0.0.0.0
Client MAC address: Sagemcom_xx:xx:xx (00:37:b7:xx:xx:xx)
Client hardware address padding: 00000000000000000000
Server host name not given
Boot file name not given
Magic cookie: DHCP
Option: (53) DHCP Message Type (Request)
Length: 1
DHCP: Request (3)
Option: (50) Requested IP Address
Length: 4
Requested IP Address: 86.245.xxx.xxxx
Option: (54) DHCP Server Identifier
Length: 4
DHCP Server Identifier: 80.10.247.176
Option: (55) Parameter Request List
Length: 11
Parameter Request List Item: (1) Subnet Mask
Parameter Request List Item: (3) Router
Parameter Request List Item: (6) Domain Name Server
Parameter Request List Item: (15) Domain Name
Parameter Request List Item: (28) Broadcast Address
Parameter Request List Item: (51) IP Address Lease Time
Parameter Request List Item: (58) Renewal Time Value
Parameter Request List Item: (59) Rebinding Time Value
Parameter Request List Item: (90) Authentication
Parameter Request List Item: (119) Domain Search
Parameter Request List Item: (120) SIP Servers
Option: (60) Vendor class identifier
Length: 5
Vendor class identifier: sagem
Option: (77) User Class Information
Length: 44
Instance of User Class: [0]
Option: (90) Authentication
Length: 22
Protocol: configuration token (0)
Algorithm: 0
Replay Detection Method: Monotonically-increasing counter (0)
RDM Replay Detection Value: 0x0000000000000000
Authentication Information: fti/xxxxxxx
Option: (255) End
Option End: 255
Frame 84: 426 bytes on wire (3408 bits), 426 bytes captured (3408 bits) on interface 0
Ethernet II, Src: Alcatel-_dc:fc:eb (84:26:2b:dc:fc:eb), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
802.1Q Virtual LAN, PRI: 7, CFI: 0, ID: 832
Internet Protocol Version 4, Src: 86.245.184.1, Dst: 255.255.255.255
User Datagram Protocol, Src Port: 67 (67), Dst Port: 68 (68)
Bootstrap Protocol (ACK)
Message type: Boot Reply (2)
Hardware type: Ethernet (0x01)
Hardware address length: 6
Hops: 0
Transaction ID: 0x0cc032e9
Seconds elapsed: 1
Bootp flags: 0x8000, Broadcast flag (Broadcast)
Client IP address: 0.0.0.0
Your (client) IP address: 86.245.xxx.xxx
Next server IP address: 80.10.247.176
Relay agent IP address: 80.10.237.69
Client MAC address: Sagemcom_xx:xx:xx (00:37:b7:xx:xx:xx)
Client hardware address padding: 00000000000000000000
Server host name not given
Boot file name not given
Magic cookie: DHCP
Option: (53) DHCP Message Type (ACK)
Length: 1
DHCP: ACK (5)
Option: (54) DHCP Server Identifier
Length: 4
DHCP Server Identifier: 80.10.247.176
Option: (51) IP Address Lease Time
Length: 4
IP Address Lease Time: (86400s) 1 day
Option: (1) Subnet Mask
Length: 4
Subnet Mask: 255.255.248.0
Option: (3) Router
Length: 4
Router: 86.245.184.1
Option: (6) Domain Name Server
Length: 8
Domain Name Server: 80.10.246.136
Domain Name Server: 81.253.149.6
Option: (59) Rebinding Time Value
Length: 4
Rebinding Time Value: (69200s) 19 hours, 13 minutes, 20 seconds
Option: (58) Renewal Time Value
Length: 4
Renewal Time Value: (43200s) 12 hours
Option: (28) Broadcast Address
Length: 4
Broadcast Address: 86.245.191.255
Option: (15) Domain Name
Length: 9
Domain Name: orange.fr
Option: (120) SIP Servers
Length: 42
SIP Server Encoding: Fully Qualified Domain Name (0)
SIP Server Name: sbct3g.PUT.access.orange-multimedia.net
Option: (90) Authentication
Length: 27
Protocol: configuration token (0)
Algorithm: 0
Replay Detection Method: Monotonically-increasing counter (0)
RDM Replay Detection Value: 0x0000000000000000
Authentication Information: dhcpliveboxfr250
Option: (255) End
Option End: 255
Merci kgersen, tu me sauves la vie.
Je viens de leur transmettre ces informations (en censurant quelques IPs que t'as oublié de cacher), en espérant que cela leur conviendra.
Bon je n'arrive toujours pas à récupérer une IP sur eth1.832 (j'ai bien un IP sur le br0 et la tv fonctionne, par contre pas de net) sur mon ERL 3 ports.Une coquille possible dans ta conf : tu as indiqué "rfc3118-authentication" et non "rfc3118-auth" dans tes options du client dhcp sur eth1.832. Je ne sais pas s'il suffit de mettre le script /opt/vyatta/sbin/vyatta-interfaces.pl en adéquation avec le config.boot ou si le nom du paramètre est strictement défini comme "rfc3118-auth".
J'ai bien patché le fichier /opt/vyatta/sbin/vyatta-interfaces.pl pour l'option 90, mais ça ne veut pas.
Voici ma conf, si quelqu'un a une idée :Code: [Sélectionner]firewall {
all-ping enable
broadcast-ping disable
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "packets from Internet to LAN"
enable-default-log
rule 1 {
action accept
description "allow established sessions"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "packets from Internet to the router"
rule 1 {
action accept
description "allow established session to the router"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
options {
mss-clamp {
interface-type pppoe
interface-type pptp
interface-type tun
mss 1452
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
address dhcp
aging 300
bridged-conntrack disable
description "TV - VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send dhcp-client-identifier 1:*:*:*:*:*:*;"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route update
default-route-distance 210
name-server update
}
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
address 192.168.1.1/24
description LAN1
duplex auto
speed auto
}
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 832 {
address dhcp
description "Internet Orange DHCP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:*:*:*:*:*:*:*;"
client-option "request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3118-authentication;"
default-route update
default-route-distance 210
name-server update
}
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 838 {
bridge-group {
bridge br0
}
description "VLAN VOD"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br0
}
description "VLAN TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description "Décodeur TV"
duplex auto
speed auto
}
loopback lo {
}
}
port-forward {
auto-firewall enable
hairpin-nat enable
lan-interface eth0
rule 1 {
description ""
forward-to {
address 192.168.1.*
port 3389
}
original-port 3389
protocol tcp
}
rule 2 {
description ""
forward-to {
address 192.168.1.*
port 21
}
original-port 21
protocol tcp
}
rule 3 {
description ""
forward-to {
address 192.168.1.*
port 27618
}
original-port 27618
protocol tcp_udp
}
rule 4 {
description ""
forward-to {
address 192.168.1.*
port 88
}
original-port 88
protocol udp
}
rule 5 {
description ""
forward-to {
address 192.168.1.*
port 3074
}
original-port 3074
protocol tcp_udp
}
rule 6 {
description ""
forward-to {
address 192.168.1.*
port 53
}
original-port 53
protocol tcp_udp
}
rule 7 {
description ""
forward-to {
address 192.168.1.*
port 500
}
original-port 500
protocol udp
}
rule 8 {
description ""
forward-to {
address 192.168.1.*
port 3544
}
original-port 3544
protocol udp
}
rule 9 {
description ""
forward-to {
address 192.168.1.*
port 4500
}
original-port 4500
protocol udp
}
wan-interface eth1.832
}
protocols {
igmp-proxy {
disable-quickleave
interface br0 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth0 {
role disabled
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN1 {
authoritative disable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
start 192.168.1.2 {
stop 192.168.1.200
}
}
}
shared-network-name LiveboxTV {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 192.168.2.1
lease 86400
start 192.168.2.21 {
stop 192.168.2.200
}
}
}
}
dns {
dynamic {
interface eth1.832 {
service dyndns {
host-name *.*.*
login ******
password ************
server dynupdate.no-ip.com
}
}
}
forwarding {
cache-size 1000
listen-on eth2
listen-on eth0
}
}
gui {
https-port 443
}
mdns {
reflector
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
log disable
outbound-interface br0
protocol all
type masquerade
}
}
ssh {
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password *******************
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
ipv4 {
forwarding enable
pppoe enable
vlan enable
}
}
package {
repository wheezy {
components "main contrib non-free"
distribution wheezy
password ""
url http://http.us.debian.org/debian
username ""
}
repository wheezy-security {
components main
distribution wheezy/updates
password ""
url http://security.debian.org
username ""
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
host 192.168.1.* {
facility all {
level notice
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@4:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.7.0.4783374.150622.1534 */
Edit: Par contre j'ai pas encore trouvé comme forcer linux à envoyer des routers solicitations pour obtenir la route par défaut... Il n'envoie que de neighbor solicitations... Du coup obligé d'attendre que "ba0bab" veuille bien envoyer un router advertisement de lui même pour que ça marche.
il faut forcer avec accept_ra (/proc/sys/net/ipv6/conf/<interface>/accept_ra ) a 2 car c'est un routeur pas un poste (regardes la doc concernant 'forwarding' et 'accept_ra').C'est ce que j'ai fait, et effectivement avec ça l'ERL accepte les routers advertisements et configure la route par défaut. Sauf qu'il n'envoie pas de solicitations, donc il faut attendre que le routeur d'Orange envoie l'advertisement de lui-même, ce qu'il ne fait qu'une fois toutes les 20 minutes d'après mes captures.
vif 832 {
...
ipv6 {
address {
autoconf
}
}
}
Une coquille possible dans ta conf : tu as indiqué "rfc3118-authentication" et non "rfc3118-auth" dans tes options du client dhcp sur eth1.832. Je ne sais pas s'il suffit de mettre le script /opt/vyatta/sbin/vyatta-interfaces.pl en adéquation avec le config.boot ou si le nom du paramètre est strictement défini comme "rfc3118-auth".
Il suffit simplement que le vyatta-interfaces.pl et le config.boot soit configurés pareil.
Tu peux mettre le nom que tu veux ;)
Etant donné qu'il s'agit d'une nouvelle installation, je pense que je serai donc en DHCP directement...
tshark -r boot-livebox.pcapng -T fields -e _ws.col.Protocol -e vlan.id -e vlan.priority -e ip.src -e ip.proto -e ip.dsfield -e ipv6.tclass -E header=y -E separator=, -E quote=d eth.src==00:37:b7:xx:xx:xx > qos-livebox.csv
Le résultat est un ficher qos-livebox.csv qu'on peut ouvrir dans un tableur.j'ai fait un récap des valeurs QoS émises par la livebox:
https://docs.google.com/spreadsheets/d/1Toh7a3wyXfH2NscAvhgxOJk1JEEBd6PwfmO003xRDo0/edit?usp=sharing
J'ai effectivement la même configuration entre le vyatta-interfaces.pl et le config.boot et ça ne fonctionne pas plus. Il faut que je teste le dhclient de zoc, on verra si ça change quelque chose.Bonjour gegere,
Edit : testé le dhclient de zoc, c'est fonctionnel désormais en DHCP \o/
Bonjour gegere,
Je suis dans la même configuration que toi et je n'arrive pas à me connecter sur le réseau Orange malgré une config correcte. ???
Est ce que tu pourrais me donner plus de précision sur ton "Edit: testé le dhclient de zoc, c'est fonctionnel" ?
J'ai suivi le guide détaillé de 80n, et pour moi il utilise déjà les recommandations de zoc (sans l'option egress-qos)
Merci !
plus aucun flux sur le Vlan TV ne passe mais ça fonctionne très bien pour la VoD), obligé de redémarrer l'ERL à chaque fois.Ca ressembe à un crash d'igmpproxy sur l'ERL.
restart igmp-proxy
pour voir si le stream TV est de nouveau fonctionnel. Pour éviter les plantages, je conseille de désactiver explicitement toutes les interfaces qui ne sont pas sensées participer au routage multicast, ce qui donne, en gros, niveau de la config (la mienne est légèrement différente car j'ai plusieurs VLANs sur mon réseau local):protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
}
interface eth1 {
role disabled
}
interface eth1.832 {
role disabled
}
interface eth1.838 {
role disabled
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
Merci, je vais tester le nouveau client dhcp se soir :)Attention, avec le nouveau client dhcp, l'option egress-qos avec la valeur "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7" est obligatoire (Parce que sinon par défaut la priorité kernel est mappée vers le priorité 802.1.p 0 comme avec le client standard).
Dommage que la TV ne soit pas suffisamment stable avec l'ERL.. Est tu en firmware 1.7 ou 1.8 ?
Ca ressembe à un crash d'igmpproxy sur l'ERL.
La prochaine fois que tu as ce soucis, essaye de faire unCode: [Sélectionner]restart igmp-proxy
pour voir si le stream TV est de nouveau fonctionnel. Pour éviter les plantages, je conseille de désactiver explicitement toutes les interfaces qui ne sont pas sensées participer au routage multicast, ce qui donne, en gros, niveau de la config (la mienne est légèrement différente car j'ai plusieurs VLANs sur mon réseau local):Code: [Sélectionner]protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
role disabled
}
interface eth1 {
role disabled
}
interface eth1.832 {
role disabled
}
interface eth1.838 {
role disabled
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
Cette configuration suppose que le décodeur TV est sur eth2, et qu'il n'y a pas de bridge entre eth1.838 et eth1.840, puisqu'il n'est pas nécessaire et pénalise la charge processeur.
ethernet eth1 {
description ONT
duplex auto
speed auto
vif 832 {
address dhcp
description Data
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time,
dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7"
firewall {
in {
ipv6-name WAN6_IN
name WAN_IN
}
local {
ipv6-name WAN6_LOCAL
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
}
}
vif 838 {
address dhcp
description "TV VOD"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";"
client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;"
client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
default-route no-update
default-route-distance 210
name-server update
}
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
firewall {
in {
name ORANGE_IN
}
local {
name ORANGE_LOCAL
}
}
}
vif 840 {
address 192.168.255.254/32
description "TV Stream"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
nat {
rule 5010 {
description "Internet NAT"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
rule 5011 {
description "VOD NAT"
log disable
outbound-interface eth1.838
protocol all
type masquerade
}
}
le seul moyen que j'ai trouvé pour faire marcher la télé c'est faire un bridge sur eth10 et eth11 (carte reseau ONT et livebox) mais forcement ça sert à rien comme ça...
Sur eth2, VLAN 835 ou VLAN 832 ?
Attention, avec le nouveau client dhcp, l'option egress-qos avec la valeur "0:0 1:1 2:2 3:3 4:4 5:5 6:6 7:7" est obligatoire (Parce que sinon par défaut la priorité kernel est mappée vers le priorité 802.1.p 0 comme avec le client standard).
Salut Melchior. Fais attention l'option 77 ne passe pas sur le dhclient de freebsd, il faut recompiler le dhclient avec le paramètre qui va bien.
Sinon passer sous openbsd et ça marche très bien ;)
c'est ce qu'il faut faire.
(https://drive.google.com/uc?id=0B5ma-el6j-bDNnY0M1VoT0pxQ1E)
ERL = ton routeur/pc routeur (debian)
Les 2 vlan TV (838 et 840) traversent juste le routeur. Il faut 2 bridges eth1<->eth2 (eth10 et eth11 dans ton cas), un par VLAN.
Idéalement d'ailleurs on peut meme éviter ca en mettant 2 switch pour amener les 2 Vlan (838 et 840) directement a la livebox.
ONT -- switch -- vlan 832 -- debian-------|
|-- vlan 838 & 840 ----------switch--- livebox --- decodeur TV
2016.04.24 15:02:24 Server Info Mapping allow, deny list to PD 1 2016.04.24 15:02:24 Server Critical Interface eth11.832/11 is down or doesn't have any link scope address. |
modprobe 8021q
echo "8021q" >> /etc/modules
apt install vlan
vconfig add eth0 832
vconfig rem eth0.832
auto eth0
iface eth0 inet static
address 192.168.1.100
netmask 255.255.255.0
broadcast 192.168.1.254
auto eth0.832
iface eth0.832 inet manual
up dhclient -cf /etc/dhcp/dhclient.conf -v -pf /var/run/dhclient.vlan832.pid -lf /var/lib/dhcp/dhclient.vlan832.leases eth0.832
post-down dhclient -x -pf /var/run/dhclient.vlan832.pid || true
iface eth0.832 inet6 manual
auto eth1
iface eth1 inet static
address 192.168.0.100
netmask 255.255.255.0
broadcast 192.168.0.254
iface eth1 inet6 auto
touch /var/lib/dhcp/dhclient.vlan832.leases
option rfc3118-authentication code 90 = string;
interface "eth0.832" {
send vendor-class-identifier "sagem";
#send dhcp-client-identifier xx:xx:xx:xx:xx:xx;
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;
request subnet-mask, routers,
domain-name, broadcast-address, dhcp-lease-time,
dhcp-renewal-time, dhcp-rebinding-time,
rfc3118-authentication;
prepend domain-name-servers 8.8.8.8, 8.8.4.4;
}
iptables -t nat -A POSTROUTING -j MASQUERADE -o eth0.832
sysctl -w net/ipv6/conf/eth0.832/forwarding=1
$ scp image.iso [2001:4b98:dc0:47:216:3eff:fe36:8e34]:/tmp
spada@2001:4b98:dc0:47:216:3eff:fe36:8e34's password:
image.iso 100% 43MB 43.5MB/s 00:01
iface eth0.832 inet6 manual
Bonjour dario,
Merci beaucoup pour ton tuto, il est bien fait.
Pourrais-tu m'indiquer si tu as fait exprès de laisser cette ligne du fichier /etc/network/interfaces toute seule :Code: [Sélectionner]iface eth0.832 inet6 manual
Parce que pour l'ipv4, tu précises des actions à effectuer au début et à la fin de la connexion (up dhclient -cf /etc/dhcp/dhclient.conf ........).
Je me pose cette question car grâce à tes explication j'arrive à faire marcher l'ipv4 mais pas l'ipv6.
y'a pas d'IPv6 'public' (on dit "globale" en IPv6) coté WAN donc on laisse en 'manual' juste pour avoir l'ipv6 par 'link local' (fe80::...).
iface eth0.832 inet6 manual
up dhclient6 -cf /etc/dhcp/dhclient6.conf -v -pf /var/run/dhclient6.vlan832.pid -lf /var/lib/dhcp/dhclient6.vlan832.leases eth0.832
post-down dhclient6 -x -pf /var/run/dhclient6.vlan832.pid || true
Je ne sais pas ce que signifie 'link local' (fe80::....).
ip -6 addr show dev eth0.832
devrait t'indiquer si t'as une link-local ou pas. si oui la 1ere étape est ok. sinon pas la peine d'aller plus loin.J'ai une petite question, tout ce bordel de DHCP non-standard est-il necessaire pour obtenir une connexion? Je veux dire, si on connait son IP et en admettant qu'elle n'a pas change entre temps, est ce que le simple fait de mettre cette IP sur l'interface WAN suffirait? Ou est-ce que le fait de faire la requete DHCP declenche quelque chose du cote Orange qui autorise l'acheminement du trafic jusqu'a la fibre du client?
rule 4 {
action accept
description "Allow Submission and IMAP"
destination {
address ::a3a3:beff:fe89:93af/::ffff:ffff:ffff:ffff
port 143,587
}
log disable
protocol tcp
}
preferred-lifetime 86400;
default-lease-time 86400;
max-lease-time 86400;
authoritative;
log-facility local7;
option dhcp6.auth code 11 = string;
option dhcp6.auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;
option dhcp6.serveridentifier code 2 = string;
option dhcp6.serveridentifier 00:02:00:00:05:58:44:45:53:48:41:59:45:53:53:55:44:52:4f:54;
subnet6 2a01:cb15:7415:cfe0::/64 {
prefix6 2a01:cb15:7415:cf00:: 2a01:cb15:7415:cfe0:: /60;
}
/etc/init.dje me pose des questions.
Tu obtiens ça même avec une Livebox...
Et la latence n'est pas forcement parfaite sur speedtest.
Juste pour info, pour ceux qui veulent héberger des services en IPv6 avec nos préfixes "quasi statiques" et tout de même protéger leur réseau avec ip6tables, il est possible de matcher sur les suffixes, ce qui évite de devoir refaire les règles ip6tables à chaque fois que le préfixe change: http://blog.dupondje.be/?p=17
Sur EdgeOS, ça donne ça:Code: [Sélectionner]rule 4 {
action accept
description "Allow Submission and IMAP"
destination {
address ::a3a3:beff:fe89:93af/::ffff:ffff:ffff:ffff
port 143,587
}
log disable
protocol tcp
}
Quelqu'un a une capture réseau du boot d'une livebox en DHCP (et v6) et me le partagerai ?
J'ai l'engineering team Netgear en charge des routeurs qui voudrait voir comment c'est fait.
Je suis en déplacement jusqu'à la fin du mois donc je peux pas maniper chez moi ce genre de chose :/
Frame 305: 204 bytes on wire (1632 bits), 204 bytes captured (1632 bits) on interface 0
Ethernet II, Src: Sagemcom_93:xx:xx (00:37:b7:93:xx:xx), Dst: IPv6mcast_01:00:02 (33:33:00:01:00:02)
802.1Q Virtual LAN, PRI: 6, CFI: 0, ID: 832
Internet Protocol Version 6, Src: fe80::237:b7ff:fe93:xxxx, Dst: ff02::1:2
User Datagram Protocol, Src Port: 546 (546), Dst Port: 547 (547)
DHCPv6
Message type: Solicit (1)
Transaction ID: 0x04372a
Client Identifier
Option: Client Identifier (1)
Length: 10
Value: 000300010037b793xxxx
DUID: 000300010037b793xxxx
DUID Type: link-layer address (3)
Hardware type: Ethernet (1)
Link-layer address: 00:37:b7:93:xx:xx
Option Request
Option: Option Request (6)
Length: 4
Value: 000b0017
Requested Option code: Authentication (11)
Requested Option code: DNS recursive name server (23)
Elapsed time
Option: Elapsed time (8)
Length: 2
Value: 0508
Elapsed time: 12880 ms
Authentication
Option: Authentication (11)
Length: 22
Value: 0000000000000000000000667469...
Protocol: 0
Algorithm: 0
RDM: 0
Replay Detection: 0000000000000000
Authentication Information: 667469...
User Class
Option: User Class (15)
Length: 45
Value: 002b46535644534c5f6c697665626f782e496e7465726e65...
Vendor Class
Option: Vendor Class (16)
Length: 11
Value: 0000040e0005736167656d
Enterprise ID: SAGEMCOM SAS (1038)
vendor-class-data: sagem
Identity Association for Prefix Delegation
Option: Identity Association for Prefix Delegation (25)
Length: 12
Value: b793xxxx00000e1000001518
IAID: b793xxxx
T1: 3600
T2: 5400
Frame 306: 189 bytes on wire (1512 bits), 189 bytes captured (1512 bits) on interface 0
Ethernet II, Src: Alcatel-_dc:fc:eb (84:26:2b:dc:fc:eb), Dst: Sagemcom_93:xx:xx (00:37:b7:93:xx:xx)
802.1Q Virtual LAN, PRI: 7, CFI: 0, ID: 832
Internet Protocol Version 6, Src: fe80::ba0:bab, Dst: fe80::237:b7ff:fe93:xxxx
User Datagram Protocol, Src Port: 547 (547), Dst Port: 546 (546)
DHCPv6
Message type: Advertise (2)
Transaction ID: 0x04372a
Identity Association for Prefix Delegation
Option: Identity Association for Prefix Delegation (25)
Length: 41
Value: b793xxxx0000a8c000010e00001a00190001518000015180...
IAID: b793xxxx
T1: 43200
T2: 69120
IA Prefix
Option: IA Prefix (26)
Length: 25
Value: 0001518000015180382a01cb0003f1410000000000000000...
Preferred lifetime: 86400
Valid lifetime: 86400
Prefix length: 56
Prefix address: 2a01:cb00:3f1:4100::
Server Identifier
Option: Server Identifier (2)
Length: 20
Value: 0002000005584445534841594553535544524f54
DUID: 0002000005584445534841594553535544524f54
DUID Type: assigned by vendor based on Enterprise number (2)
Enterprise ID: France Telecom (1368)
Identifier: 4445534841594553535544524f54
Client Identifier
Option: Client Identifier (1)
Length: 10
Value: 000300010037b793xxxx
DUID: 000300010037b793xxxx
DUID Type: link-layer address (3)
Hardware type: Ethernet (1)
Link-layer address: 00:37:b7:93:xx:xx
Authentication
Option: Authentication (11)
Length: 27
Value: 0000000000000000000000646863706c697665626f786672...
Protocol: 0
Algorithm: 0
RDM: 0
Replay Detection: 0000000000000000
Authentication Information: 646863706c697665626f786672323530
Preference
Option: Preference (7)
Length: 1
Value: ff
Pref-value: 255
Request:Frame 307: 257 bytes on wire (2056 bits), 257 bytes captured (2056 bits) on interface 0
Ethernet II, Src: Sagemcom_93:xx:xx (00:37:b7:93:xx:xx), Dst: IPv6mcast_01:00:02 (33:33:00:01:00:02)
802.1Q Virtual LAN, PRI: 6, CFI: 0, ID: 832
Internet Protocol Version 6, Src: fe80::237:b7ff:fe93:xxxx, Dst: ff02::1:2
User Datagram Protocol, Src Port: 546 (546), Dst Port: 547 (547)
DHCPv6
Message type: Request (3)
Transaction ID: 0x0cbd86
Client Identifier
Option: Client Identifier (1)
Length: 10
Value: 000300010037b793xxxx
DUID: 000300010037b793xxxx
DUID Type: link-layer address (3)
Hardware type: Ethernet (1)
Link-layer address: 00:37:b7:93:xx:xx
Server Identifier
Option: Server Identifier (2)
Length: 20
Value: 0002000005584445534841594553535544524f54
DUID: 0002000005584445534841594553535544524f54
DUID Type: assigned by vendor based on Enterprise number (2)
Enterprise ID: France Telecom (1368)
Identifier: 4445534841594553535544524f54
Option Request
Option: Option Request (6)
Length: 4
Value: 000b0017
Requested Option code: Authentication (11)
Requested Option code: DNS recursive name server (23)
Elapsed time
Option: Elapsed time (8)
Length: 2
Value: 0000
Elapsed time: 0 ms
Authentication
Option: Authentication (11)
Length: 22
Value: 0000000000000000000000667469..
Protocol: 0
Algorithm: 0
RDM: 0
Replay Detection: 0000000000000000
Authentication Information: 667469..
User Class
Option: User Class (15)
Length: 45
Value: 002b46535644534c5f6c697665626f782e496e7465726e65...
Vendor Class
Option: Vendor Class (16)
Length: 11
Value: 0000040e0005736167656d
Enterprise ID: SAGEMCOM SAS (1038)
vendor-class-data: sagem
Identity Association for Prefix Delegation
Option: Identity Association for Prefix Delegation (25)
Length: 41
Value: b793xxxx0000a8c000010e00001a00190001518000015180...
IAID: b793xxxx
T1: 43200
T2: 69120
IA Prefix
Option: IA Prefix (26)
Length: 25
Value: 0001518000015180382a01...
Preferred lifetime: 86400
Valid lifetime: 86400
Prefix length: 56
Prefix address: 2a01:xxxx:xxxx:xxxx::
Frame 319: 184 bytes on wire (1472 bits), 184 bytes captured (1472 bits) on interface 0
Ethernet II, Src: Alcatel-_dc:fc:eb (84:26:2b:dc:fc:eb), Dst: Sagemcom_93:xx:xx (00:37:b7:93:xx:xx)
802.1Q Virtual LAN, PRI: 7, CFI: 0, ID: 832
Internet Protocol Version 6, Src: fe80::ba0:bab, Dst: fe80::237:b7ff:fe93:xxxx
User Datagram Protocol, Src Port: 547 (547), Dst Port: 546 (546)
DHCPv6
Message type: Reply (7)
Transaction ID: 0x0cbd86
Identity Association for Prefix Delegation
Option: Identity Association for Prefix Delegation (25)
Length: 41
Value: b793xxxx0000a8c000010e00001a00190001518000015180...
IAID: b793xxxx
T1: 43200
T2: 69120
IA Prefix
Option: IA Prefix (26)
Length: 25
Value: 0001518000015180382a01...
Preferred lifetime: 86400
Valid lifetime: 86400
Prefix length: 56
Prefix address: 2a01:xxxx:xxxx:xxxx::
Server Identifier
Option: Server Identifier (2)
Length: 20
Value: 0002000005584445534841594553535544524f54
DUID: 0002000005584445534841594553535544524f54
DUID Type: assigned by vendor based on Enterprise number (2)
Enterprise ID: France Telecom (1368)
Identifier: 4445534841594553535544524f54
Client Identifier
Option: Client Identifier (1)
Length: 10
Value: 000300010037b793xxxx
DUID: 000300010037b793xxxx
DUID Type: link-layer address (3)
Hardware type: Ethernet (1)
Link-layer address: 00:37:b7:93:xx:xx
Authentication
Option: Authentication (11)
Length: 27
Value: 0000000000000000000000646863706c697665626f786672...
Protocol: 0
Algorithm: 0
RDM: 0
Replay Detection: 0000000000000000
Authentication Information: 646863706c697665626f786672323530
mais ça tag tout non ? Pas juste dhcp/arp ?
non juste ce qui concerne la couche "link-layer" (en gros tout ce qui ne passe pas pf(4)).
ddns-update-style none;
default-lease-time 3600;
max-lease-time 10080;
#authoritative;
log-facility local7;
option authsend code 90 = string;
option authsend 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:70:70:71:XX:XX:XX:XX;
option SIP code 120 = string;
option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.50 192.168.1.70;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.1.255;
option routers 192.168.1.250;
option domain-name-servers 192.168.1.250;
option domain-name "home.local";
}
subnet 172.16.1.0 netmask 255.255.255.0 {
range 172.16.1.2 172.16.1.10;
option subnet-mask 255.255.255.0;
option broadcast-address 172.16.1.255;
host livebox {
hardware ethernet 54:64:D9:3C:XX:XX;
fixed-address 172.16.1.2;
option routers 172.16.1.1;
option domain-name-servers 81.253.149.1, 80.10.246.130;
}
}
22:07:55.026622 IP (tos 0xc0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 362)
0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 54:64:d9:3c:xx:xx (oui Unknown), length 334, xid 0x54184b78, secs 13, Flags [Broadcast]
Client-Ethernet-Address 54:64:d9:3c:xx:xx (oui Unknown)
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Parameter-Request Option 55, length 11:
Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
BR, Lease-Time, RN, RB
AUTH, Option 119, Option 120
Vendor-Class Option 60, length 5: "sagem"
CLASS Option 77, length 44: "+FSVDSL_livebox.Internet.softathome.Livebox3"
AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.112.112.113.xxx.xxx.xxx.xx
22:07:55.026717 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 380)
172.16.1.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length 352, xid 0x54184b78, secs 13, Flags [Broadcast]
Your-IP 172.16.1.2
Client-Ethernet-Address 54:64:d9:3c:xx:xx (oui Unknown)
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Offer
Server-ID Option 54, length 4: 172.16.1.1
Lease-Time Option 51, length 4: 3600
Subnet-Mask Option 1, length 4: 255.255.255.0
Default-Gateway Option 3, length 4: 172.16.1.1
Domain-Name-Server Option 6, length 8: dns-adsl-gpe3-l.orange.fr,dns-adsl-gpe2-b.wanadoo.fr
BR Option 28, length 4: 172.16.1.255
AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.112.112.113.xxx.xxx.xxx.xx
T120 Option 120, length 42: 6,29538,25460,13159,833,21826,1633,25443,25971,29457,28530,24942,26469,11629,30060,29801,28005,25705,24835,28261,29696
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
option rfc3118-authentication code 90 = string;
option user-class code 77 = string;
send vendor-class-identifier = "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx; # les x cachent mon identifiant
request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-authentication;
#!/bin/bash
IF=eth1.832
for i in 0 1 2 3 4 5 6 7; do
vconfig set_egress_map $IF $i $i >/dev/null
done
vconfig set_egress_map $IF 1 0 >/dev/null
vconfig set_egress_map $IF 0 6 >/dev/null
./dhclient3 -4 -v -cf ./dhclient.832.conf
wget -O /dev/null 2.testdebit.info/fichiers/1000Mo.dat
#!/bin/bash
IF=eth1.832
for i in 0 1 2 3 4 5 6 7; do
vconfig set_egress_map $IF $i 0 >/dev/null
done
vconfig set_egress_map $IF 6 6 >/dev/null
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
(Attention il faudra rebooter après car ces paramètres ne sont pris en compte qu'à la création de l'interface au boot).La TV (kodi+un soft (tvheadend)) <-- grosse incertitude+ oscam plus un lecteur de carte...
=>ifup vlan832
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 832 to IF -:eth0:-
Internet Systems Consortium DHCP Client 4.3.3
Copyright 2004-2015 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on LPF/vlan832/00:23:56:3c:92:34
Sending on LPF/vlan832/00:23:56:3c:92:34
Sending on Socket/fallback
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 3 (xid=0xac8fbc1e)
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 5 (xid=0xac8fbc1e)
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 6 (xid=0xac8fbc1e)
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 11 (xid=0xac8fbc1e)
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 15 (xid=0xac8fbc1e)
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 18 (xid=0xac8fbc1e)
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 18 (xid=0xac8fbc1e)
20:59:07.588942 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 359)
0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from 00:23:56:3c:92:34, length 331, xid 0xac8fbc1e, secs 3, Flags [none] (0x0000)
Client-Ethernet-Address 00:23:56:3c:92:34
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Parameter-Request Option 55, length 8:
Subnet-Mask, Default-Gateway, Domain-Name, BR
Lease-Time, RN, RB, AUTH
AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.x.x.x.x.x.x.x
Vendor-Class Option 60, length 5: "sagem"
User-Class Option 77, length 44:
instance#1: "FSVDSL_livebox.Internet.softathome.Livebox3", length 43
20:59:12.756477 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 359)
0.0.0.0.68 > 255.255.255.255.67: [udp sum ok] BOOTP/DHCP, Request from 00:23:56:3c:92:34, length 331, xid 0xac8fbc1e, secs 8, Flags [none] (0x0000)
Client-Ethernet-Address 00:23:56:3c:92:34
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Parameter-Request Option 55, length 8:
Subnet-Mask, Default-Gateway, Domain-Name, BR
Lease-Time, RN, RB, AUTH
AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.x.x.x.x.x.x.x
Vendor-Class Option 60, length 5: "sagem"
User-Class Option 77, length 44:
instance#1: "FSVDSL_livebox.Internet.softathome.Livebox3", length 43
En 1er, il faut que tu sois certain que ton abo Orange ait migré en DHCP+IPv6. Un moyen simple de vérifier est de rebrancher la livebox, forcer une maj si elle n'est pas jour et voir comment elle se connecte ( page d'info sur la connexion de la livebox http://192.168.1.1/supportSystemInformationInternet.html ).
ha voila, j'ai retrouvé :
=>ifup vlan832
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 832 to IF -:eth0:-
+ case $MODE in
+ '[' post-up == post-up ']'
+ '[' vlan832 == vlan832 ']'
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 0 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 1 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 2 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 3 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 4 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 5 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 6 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map vlan832 7 0
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
+ /sbin/vconfig set_egress_map vlan832 6 6
Set egress mapping on device -:vlan832:- Should be visible in /proc/net/vlan/vlan832
Internet Systems Consortium DHCP Client 4.3.3
Copyright 2004-2015 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on LPF/vlan832/00:23:56:3c:92:34
Sending on LPF/vlan832/00:23:56:3c:92:34
Sending on Socket/fallback
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 3 (xid=0x7d8fdd39)
DHCPDISCOVER on vlan832 to 255.255.255.255 port 67 interval 3 (xid=0x7d8fdd39)
*nat
-A POSTROUTING -j MASQUERADE -o vlan832
COMMIT
*mangle
## Tout les protocoles changent de file vers le skb 01 dont on a mis la prio à 0
-A POSTROUTING -o vlan832 -j CLASSIFY --set-class 0000:0001
##On maintient les paquets réseaux dans une file à prio 6
-A POSTROUTING -o vlan832 -p igmp -j CLASSIFY --set-class 0000:0006
-A POSTROUTING -o vlan832 -p icmp -j CLASSIFY --set-class 0000:0006
##Les paquets VOIP(téléphonie orange) sont taggués EF ont les met en prio 5
-A POSTROUTING -o vlan832 -m dscp --dscp 0x2e -j CLASSIFY --set-class 0000:0005
##Si votre client DHCP n'utilise pas les raw socket il faut envoyer les paquet DHCP dans la file 6 (prio 6)
-A POSTROUTING -o vlan832 -p udp --dport 67 -j CLASSIFY --set-class 0000:0006
COMMIT
=>cat /etc/dhcp/dhclient-vlan832.conf
interface "vlan832" {
send vendor-class-identifier "sagem";
#send dhcp-client-identifier xx:xx:xx:xx:xx:xx;
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:x:x:x:x:x:x:x;
request subnet-mask, routers,
domain-name, broadcast-address, dhcp-lease-time,
dhcp-renewal-time, dhcp-rebinding-time,
rfc3118-authentication;
prepend domain-name-servers 8.8.8.8, 8.8.4.4;
}
il est possible que le DHCP ne soit pas encore déployé dans ta region.
n'importe qui en ftth orange peut désormais se connecter en dhcp ? ou c'est conditionné par d'autres trucs ?Il ne faut pas avoir d'option IP fixe.
ha, pour les offres pro donc. ip fixe = ppp obligatoire. grmmf. :'(
@pci cool ! une boite noire en moins :P
@petrus ha, bon à savoir, merci. donc n'importe qui en ftth orange peut désormais se connecter en dhcp ? ou c'est conditionné par d'autres trucs ?
Salut,
je n'ai pas trouvé comment configurer le vlan 840, quelqu'un aurait-il une idée ?
Salut,
J'ai de up:
838 avec une ip+dhcp en 10.*
840 avec une ip static (192.168.4.254)
j'ai aussi le 851 (10.*) de up avec tout ce qui va bien de compilé pour l'utiliser mais je m'y attelerai plus tard
Donc est-ce que pour avoir de l'IPTV 838+840 ça suffit ?
Je ne pense pas avoir besoin de l'igmpproxy dans la mesure ou mon htpc fait aussi office de box/router/wifi
Et du coup la route multicast je la mets sur le 840 ?
=>ifup video
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 838 to IF -:eth1:-
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 840 to IF -:eth1:-
Waiting for video to get ready (MAXWAIT is 32 seconds).
+ evlan=eth1.838
+ vlan=838
+ case $MODE in
+ '[' video == eth1.838 ']'
+ '[' video == video ']'
+ case $PHASE in
+ case $vlan in
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 0 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 1 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 2 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 3 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 4 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 5 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 6 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.838 7 4
+ '[' 838 == 838 ']'
+ ebtables -F
+ ebtables -t filter -A FORWARD -o video -d ff:ff:ff:ff:ff:ff/ff:ff:ff:ff:ff:ff -j ACCEPT
+ ebtables -t filter -A FORWARD -o video -d 01:00:00:00:00:00/01:00:00:00:00:00 -j DROP
+ evlan=eth1.840
+ vlan=840
+ case $MODE in
+ '[' video == eth1.840 ']'
+ '[' video == video ']'
+ case $PHASE in
+ case $vlan in
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 0 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 1 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 2 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 3 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 4 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 5 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 6 4
+ for i in 0 1 2 3 4 5 6 7
+ /sbin/vconfig set_egress_map eth1.840 7 4
Internet Systems Consortium DHCP Client 4.3.3
Copyright 2004-2015 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on LPF/video/00:50:62:20:04:1f
Sending on LPF/video/00:50:62:20:04:1f
Sending on Socket/fallback
DHCPREQUEST of 10.X.Y.Z on video to 255.255.255.255 port 67 (xid=0x143ba4c2)
DHCPACK of 10.X.Y.Z from 10.138.99.254
bound to 10.X.Y.Z -- renewal in 39478 seconds.
=>ip route add 224.0.0.0/4 dev video
=>./sbin/igmpproxy -dd -v ./etc/igmpproxy.conf
adding VIF, Ix 0 Fl 0x0 IP 0x0102a8c0 em1, Threshold: 1, Ratelimit: 0
RECV V2 member report from 10.138.99.1 to 224.0.0.251
The IGMP message was from myself. Ignoring.
RECV V2 member report from 10.138.99.1 to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV Membership query from 10.138.99.1adding VIF, Ix 1 Fl 0x0 IP 0x01638a0a video, Threshold: 1, Ratelimit: 0
to 224.0.0.1joinMcGroup: 224.0.0.2 on video
joinMcGroup: 224.0.0.22 on video
RECV Membership query from 10.X.Y.Y to 224.0.0.1
RECV V2 member report from 10.X.Y.Z to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV V2 member report from 10.X.Y.Z to 224.0.0.22
The IGMP message was from myself. Ignoring.
RECV V2 member report from 10.X.Y.Z to 224.0.0.251
The IGMP message was from myself. Ignoring.
RECV Membership query from 10.X.Y.Z to 224.0.0.1
RECV V2 member report from 10.X.Y.Z to 224.0.0.2
The IGMP message was from myself. Ignoring.
RECV V2 member report from 10.X.Y.Z to 224.0.0.22
The IGMP message was from myself. Ignoring.
RECV Membership query from 10.X.Y.Z to 224.0.0.1
RECV V2 member report from 10.X.Y.Z to 224.0.0.22
The IGMP message was from myself. Ignoring.
RECV V2 member report from 10.X.Y.Z to 224.0.0.251
The IGMP message was from myself. Ignoring.
RECV V2 member report from 10.X.Y.Z to 224.0.0.2
The IGMP message was from myself. Ignoring.
^Cselect() failure; Errno(4): Interrupted system call
Got a interupt signal. Exiting.
All routes removed. Routing table is empty.
Shutdown complete....
quickleave
phyint video downstream ratelimit 0 threshold 1
altnet 0.0.0.0/0
phyint em1 upstream ratelimit 0 threshold 1
altnet 0.0.0.0/0
phyint wlan0 disabled
phyint eth0 disabled
ip mroute
me dit:=>ip mroute
(192.168.2.11, 239.255.255.250) Iif: unresolved
quickleave
phyint eth1.840 upstream ratelimit 0 threshold 1
altnet 0.0.0.0/0
phyint em1 downstream ratelimit 0 threshold 1
altnet 0.0.0.0/0
phyint eth2 disabled
phyint wlan0 disabled
phyint eth0 disabled
phyint eth1.840 enable igmpv2
phyint eth1.838 enable igmpv2
phyint eth0 disable
phyint em1 disable
phyint wlan0 disable
igmp-query-interval 12
igmp-querier-timeout 42
bsr-candidate priority 5
rp-candidate time 30 priority 20
spt-threshold packets 0 interval 100
ip route add 224.0.0.0/4 dev eth1.840
quickleave
phyint eth1.840 upstream ratelimit 0 threshold 1
altnet 0.0.0.0/0
phyint eth0 downstream ratelimit 0 threshold 1
altnet 192.168.1.0/24
phyint eth2 disabled
phyint wlan0 disabled
phyint eth1.840 enable igmpv2
phyint eth1.838 disable
phyint eth0 igmpv2
phyint wlan0 disable
igmp-query-interval 12
igmp-querier-timeout 42
bsr-candidate priority 5
rp-candidate time 30 priority 20
spt-threshold packets 0 interval 100
De plus tu n'as pas mis l'ip du lan dans la config d'igmpproxy. Je verrais plus un truc comme ça :Je ne l'ai pas dans la config de mon igmpproxy et ça fonctionne quand même.
Je ne l'ai pas dans la config de mon igmpproxy et ça fonctionne quand même.
phyint eth1.840 enable igmpv2
phyint eth1.838 disable
phyint eth0 disable
phyint em1 igmpv2
phyint wlan0 disable
igmp-query-interval 12
igmp-querier-timeout 42
bsr-candidate priority 5
rp-candidate time 30 priority 20
spt-threshold packets 0 interval 100
em1 Link encap:Ethernet HWaddr aa:bb:cc:e9:4f:53
inet adr:192.168.2.1 Bcast:192.168.2.255 Masque:255.255.255.0
adr inet6: fe80::a2b3:ccff:fee9:4f53/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Packets reçus:260258 erreurs:0 :2 overruns:0 frame:0
TX packets:349786 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
Octets reçus:55621364 (55.6 MB) Octets transmis:218163713 (218.1 MB)
Interruption:18
eth1 Link encap:Ethernet HWaddr aa:bb:cc:20:04:1f
UP BROADCAST RUNNING PROMISC MULTICAST MTU:1500 Metric:1
Packets reçus:421864 erreurs:0 :0 overruns:0 frame:0
TX packets:2187727 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
Octets reçus:264281464 (264.2 MB) Octets transmis:2506182925 (2.5 GB)
eth1.832 Link encap:Ethernet HWaddr aa:bb:cc:20:04:1f
inet adr:90.116.177.53 Bcast:90.116.183.255 Masque:255.255.248.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Packets reçus:290597 erreurs:0 :0 overruns:0 frame:0
TX packets:1847937 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
Octets reçus:202084639 (202.0 MB) Octets transmis:2213020044 (2.2 GB)
eth1.838 Link encap:Ethernet HWaddr aa:bb:cc:20:04:1f
inet adr:10.X.Y.1 Bcast:10.X.Y.255 Masque:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Packets reçus:1 erreurs:0 :0 overruns:0 frame:0
TX packets:13019 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
Octets reçus:397 (397.0 B) Octets transmis:2189190 (2.1 MB)
eth1.840 Link encap:Ethernet HWaddr aa:bb:cc:20:04:1f
inet adr:192.168.255.254 Bcast:192.168.255.255 Masque:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Packets reçus:680 erreurs:0 :0 overruns:0 frame:0
TX packets:13120 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
Octets reçus:31280 (31.2 KB) Octets transmis:2167133 (2.1 MB)
lo Link encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:65536 Metric:1
Packets reçus:17171 erreurs:0 :0 overruns:0 frame:0
TX packets:17171 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1
Octets reçus:8503978 (8.5 MB) Octets transmis:8503978 (8.5 MB)
pimreg Link encap:UNSPEC HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
UP RUNNING NOARP MTU:1472 Metric:1
Packets reçus:0 erreurs:0 :0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1
Octets reçus:0 (0.0 B) Octets transmis:0 (0.0 B)
wlan0 Link encap:Ethernet HWaddr aa:bb:cc:dd:ee:ff
inet adr:172.16.0.1 Bcast:172.16.0.255 Masque:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Packets reçus:77886 erreurs:0 :0 overruns:0 frame:0
TX packets:130320 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
Octets reçus:28721818 (28.7 MB) Octets transmis:110733978 (110.7 MB)
=>ip route
224.0.0.0/4 dev eth1.840 scope link
=>ip mroute
(192.168.2.100, 239.255.255.250) Iif: em1
(192.168.2.11, 239.255.255.250) Iif: em1
(192.168.2.4, 239.255.255.250) Iif: em1
(192.168.2.30, 239.255.255.250) Iif: em1
(192.168.2.1, 239.255.255.250) Iif: em1
Oui ça a l'air de sentir bon. Pour le savoir il faudrait que zoc ou autre te fournisse une adresse d'une chaîne non chiffréeIl n'y en a plus je crois, même les chaines de la TNT le sont...
Il n'y en a plus je crois, même les chaines de la TNT le sont...
Euh ? ça veut dire que j'ai fait tout ça pour rien :-D
:-D
Le port c'est 8200 ?
Tu peux utiliser n'importe quelle carte car les "droits" pour les chaines gratuites de la TNT n'expirent jamais sur ces cartes.
Je viens de relire ton poste et ça veut dire que même avec une 335 je peux lire les flux TNT ?
(J'ai un lecteur de carte usb... ;) )
Ca passerait une carte comme ça ? https://secure.tntsat.tv/deja-equipe-tnt-sat/renouveler-carte-tnt-sat.htm (https://secure.tntsat.tv/deja-equipe-tnt-sat/renouveler-carte-tnt-sat.htm)
Ah ok.
Bon je suppose que tu as dû essayé.
j'ai vu qu'oscam propose de l'émulation aussi et que l'"ATR" de la carte est listé (http://www.streamboard.tv/oscam/wiki/CardsList).
Ca passerait une carte comme ça ? https://secure.tntsat.tv/deja-equipe-tnt-sat/renouveler-carte-tnt-sat.htm (https://secure.tntsat.tv/deja-equipe-tnt-sat/renouveler-carte-tnt-sat.htm)
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: em1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 a:b:c:d:a2b3:ccff:e:f/64 scope global mngtmpaddr dynamic
valid_lft 86400sec preferred_lft 86400sec
inet6 fe80::a2b3:ccff:e:f/64 scope link
valid_lft forever preferred_lft forever
3: wlan0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 a:b:c:d:20f:54ff:e:f/64 scope global mngtmpaddr dynamic
valid_lft 81171sec preferred_lft 9171sec
inet6 fe80::20f:54ff:e:f/64 scope link
valid_lft forever preferred_lft forever
4: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 fe80::250:62ff:fe20:41f/64 scope link
valid_lft forever preferred_lft forever
7: eth1.832@eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 a:b:c:d:g::1/64 scope global
valid_lft forever preferred_lft forever
a:b:c:d::/64 dev wlan0 proto kernel metric 256 expires 81170sec pref medium
a:b:c:d::/64 dev em1 proto kernel metric 256 expires 86399sec pref medium
a:b:c:d::/64 dev eth1.832 proto kernel metric 256 pref medium
a:b:c:d::/64 dev eth1.832 metric 1024 pref medium
fe80::/64 dev eth1 proto kernel metric 256 pref medium
fe80::/64 dev em1 proto kernel metric 256 pref medium
fe80::/64 dev wlan0 proto kernel metric 256 pref medium
default via fe80::ba0:bab dev eth1.832 proto ra metric 1024 expires 3243sec hoplimit 255 pref medium
interface em1
{
# AdvManagedFlag off; # no DHCPv6 server here.
# AdvOtherConfigFlag on; # not even for options.
AdvSendAdvert on;
# AdvDefaultPreference high;
# AdvLinkMTU 1280;
#pick one non-link-local prefix assigned to the interface and start advertising it
# prefix a:b:c:d:d::/64
prefix ::/64
{
AdvOnLink on;
AdvAutonomous on;
AdvPreferredLifetime 86400;
AdvValidLifetime 86400;
# AdvLifetime 30;
};
RDNSS a:b:c:d:d::1
{
AdvRDNSSLifetime 30;
};
};
interface wlan0
{
# AdvManagedFlag off; # no DHCPv6 server here.
# AdvOtherConfigFlag on; # not even for options.
AdvSendAdvert on;
# AdvDefaultPreference high;
# AdvLinkMTU 1280;
#pick one non-link-local prefix assigned to the interface and start advertising it
prefix a:b:c:d:d::/64
{
AdvOnLink on;
AdvAutonomous on;
AdvPreferredLifetime 86400;
AdvValidLifetime 86400;
# AdvLifetime 30;
};
RDNSS a:b:c:d:d::1
{
AdvRDNSSLifetime 30;
};
};
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eno1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 a:b:c:d:baca:3aff:e:f/64 scope global mngtmpaddr dynamic
valid_lft 86400sec preferred_lft 86400sec
inet6 fe80::baca:3aff:e:f/64 scope link
valid_lft forever preferred_lft forever
3: wlp3s0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 a:b:c:d:2567:a5f0:c5fc:a1d3/64 scope global temporary dynamic
valid_lft 86157sec preferred_lft 81870sec
inet6 a:b:c:d:863a:4bff:e:f/64 scope global mngtmpaddr dynamic
valid_lft 86157sec preferred_lft 86157sec
inet6 fe80::863a:4bff:e:f/64 scope link
valid_lft forever preferred_lft forever
4: vmnet1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UNKNOWN qlen 1000
inet6 fe80::250:56ff:fec0:1/64 scope link
valid_lft forever preferred_lft forever
5: vmnet8: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UNKNOWN qlen 1000
inet6 fe80::250:56ff:fec0:8/64 scope link
valid_lft forever preferred_lft forever
a:b:c:d::/64 dev eno1 proto kernel metric 256 expires 86399sec pref medium
a:b:c:d::/64 dev wlp3s0 proto kernel metric 256 expires 86069sec pref medium
fe80::/64 dev vmnet1 proto kernel metric 256 pref medium
fe80::/64 dev vmnet8 proto kernel metric 256 pref medium
fe80::/64 dev eno1 proto kernel metric 256 pref medium
fe80::/64 dev wlp3s0 proto kernel metric 256 pref medium
default via fe80::a2b3:ccff:e:f dev eno1 proto ra metric 1024 expires 1799sec hoplimit 64 pref medium
default via fe80::20f:54ff:e:f dev wlp3s0 proto ra metric 1024 expires 1469sec hoplimit 64 pref medium
Bonsoir,
Je début la configuration du routage de ma connexion fibre Orange sur une Debian 8 (dans un esxi).
La partie client DHCP pour le WAN fonctionne bien mais je galère pour la partie serveur dhcp destiné a la livebox.
J'ai dédié une interface physique à la liaison avec la LB, sur laquelle je monte mon vlan 832.
Je reçoit bien les requêtes DHCP de la LB, mon serveur répond bien, mais la LB ne prend pas l'adresse proposée.
Une idée de la raison ?
La conf de mon serveur DHCP est la suivante :Code: [Sélectionner]ddns-update-style none;
default-lease-time 3600;
max-lease-time 10080;
#authoritative;
log-facility local7;
option authsend code 90 = string;
option authsend 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:70:70:71:XX:XX:XX:XX;
option SIP code 120 = string;
option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;
subnet 192.168.1.0 netmask 255.255.255.0 {
range 192.168.1.50 192.168.1.70;
option subnet-mask 255.255.255.0;
option broadcast-address 192.168.1.255;
option routers 192.168.1.250;
option domain-name-servers 192.168.1.250;
option domain-name "home.local";
}
subnet 172.16.1.0 netmask 255.255.255.0 {
range 172.16.1.2 172.16.1.10;
option subnet-mask 255.255.255.0;
option broadcast-address 172.16.1.255;
host livebox {
hardware ethernet 54:64:D9:3C:XX:XX;
fixed-address 172.16.1.2;
option routers 172.16.1.1;
option domain-name-servers 81.253.149.1, 80.10.246.130;
}
}
Et l'échange entre la LB et mon serveur :Code: [Sélectionner]22:07:55.026622 IP (tos 0xc0, ttl 64, id 0, offset 0, flags [none], proto UDP (17), length 362)
0.0.0.0.bootpc > 255.255.255.255.bootps: BOOTP/DHCP, Request from 54:64:d9:3c:xx:xx (oui Unknown), length 334, xid 0x54184b78, secs 13, Flags [Broadcast]
Client-Ethernet-Address 54:64:d9:3c:xx:xx (oui Unknown)
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Discover
Parameter-Request Option 55, length 11:
Subnet-Mask, Default-Gateway, Domain-Name-Server, Domain-Name
BR, Lease-Time, RN, RB
AUTH, Option 119, Option 120
Vendor-Class Option 60, length 5: "sagem"
CLASS Option 77, length 44: "+FSVDSL_livebox.Internet.softathome.Livebox3"
AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.112.112.113.xxx.xxx.xxx.xx
22:07:55.026717 IP (tos 0x10, ttl 128, id 0, offset 0, flags [none], proto UDP (17), length 380)
172.16.1.1.bootps > 255.255.255.255.bootpc: BOOTP/DHCP, Reply, length 352, xid 0x54184b78, secs 13, Flags [Broadcast]
Your-IP 172.16.1.2
Client-Ethernet-Address 54:64:d9:3c:xx:xx (oui Unknown)
Vendor-rfc1048 Extensions
Magic Cookie 0x63825363
DHCP-Message Option 53, length 1: Offer
Server-ID Option 54, length 4: 172.16.1.1
Lease-Time Option 51, length 4: 3600
Subnet-Mask Option 1, length 4: 255.255.255.0
Default-Gateway Option 3, length 4: 172.16.1.1
Domain-Name-Server Option 6, length 8: dns-adsl-gpe3-l.orange.fr,dns-adsl-gpe2-b.wanadoo.fr
BR Option 28, length 4: 172.16.1.255
AUTH Option 90, length 22: 0.0.0.0.0.0.0.0.0.0.0.102.116.105.47.112.112.113.xxx.xxx.xxx.xx
T120 Option 120, length 42: 6,29538,25460,13159,833,21826,1633,25443,25971,29457,28530,24942,26469,11629,30060,29801,28005,25705,24835,28261,29696
Salut,
chose promise chose dûe avec beaucoup de retard.
Si cela peut aider qqs uns en p.j. la conf.
A noter que j'ai utilisé un dhclient isc 4.3.5
Je vais encore l'améliorer et faire le script ;)
Salut,
Super initiative le script, des nouvelles ? 8) merci !
Et voilà,
https://github.com/pci06/ba0bab (https://github.com/pci06/ba0bab)
Normalement c'est à peu près viable :)
Merci @Jean41 pour les tests réalisés.
OK, c'est une bonne nouvelle.Merci pour tes explications que je vais tenter de reproduire sur une USG Unifi mais par contre comment coder en dur directement dans le fichier vyatta-interfaces.pl ma string de mon abo ?
Pour l'ERL il suffira donc de patcher le fichier perl qui génère le fichier de configuration DHCP. Pas très difficile.
Update: Alors, pour un firmware 1.7 (et sans doute suivants), il faut modifier le fichier /opt/vyatta/sbin/vyatta-interfaces.pl. Rechercher la ligneCode: [Sélectionner]$output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";
et rajouter en dessousCode: [Sélectionner]$output .= "option rfc3118-auth code 90 = string;\n\n";
Puis rebooter l'ERL. A partir de ce moment, il devrait (je mets au conditionnel car je n'ai pas encore testé) être possible de faireCode: [Sélectionner]set interfaces ethernet eth1 dhcp-options client-option "send rfc3118-auth xx:xx:xx:xx:xx:.....;"
dans le fichier de config de l'ERL ;)
Merci pour tes explications que je vais tenter de reproduire sur une USG Unifi mais par contre comment coder en dur directement dans le fichier vyatta-interfaces.pl ma string de mon abo ?
bash -x ./genconfig.sh
root@gateway:/orange/ba0bab-master# bash -x ./genconfig.sh
+ tempfile=/tmp/filelFcfqi
+ trap 'rm -f /tmp/filelFcfqi' 0
+ : dialog
+ : 0
+ : 1
+ : 2
+ : 3
+ : 4
+ : 255
+ : 0
+ : 1
+ : 2
+ : 3
+ : 9
+ : 15
++ getNICnMAC
++ ip -o link
++ sort
++ sed -n '/^[0-9]\+:[[:space:]]\+lo:/ d;s,[0-9]\+:[[:space:]]*\([^:]\+\):.*/ether[[:space:]]*\([^[:space:]]\+\)[[:space:]]\+.*,\1 \2,;p'
+ dialog --clear --title 'Interface WAN' --menu 'Sélectionner l'\''interface WAN dans la liste ci-dessous:' 20 51 4 6: tun0: '<POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP>' mtu 1500 qdisc pfifo_fast state UNKNOWN mode DEFAULT group default qlen '100\' link/none eth0 00:13:3b:0f:c5:54 eth1 f4:f2:6d:00:2f:73 eth2 00:23:7d:c4:7b:f2 vlan832@eth2 00:23:7d:c4:7b:f2
+ shouldExit 127 'Configuration annulée'
+ '[' 127 -ne 0 ']'
+ echo Configuration annulée
Configuration annulée
+ exit 127
+ rm -f /tmp/filelFcfqi
+ tempfile=/tmp/fileUZ8bls
+ trap 'rm -f /tmp/fileUZ8bls' 0
+ : dialog
+ : 0
+ : 1
+ : 2
+ : 3
+ : 4
+ : 255
+ : 0
+ : 1
+ : 2
+ : 3
+ : 9
+ : 15
++ getNICnMAC
++ ip -o link
++ sort
++ sed -n '/^[0-9]\+:[[:space:]]\+ppp[0-9]\+:/ d;/^[0-9]\+:[[:space:]]\+tap[0-9]\+:/ d;/^[0-9]\+:[[:space:]]\+tun[0-9]\+:/ d;/^[0-9]\+:[[:space:]]\+lo:/ d;s,[0-9]\+:[[:space:]]*\([^:]\+\):.*/ether[[:space:]]*\([^[:space:]]\+\)[[:space:]]\+.*,\1 \2,;p'
+ dialog --clear --title 'Interface WAN' --menu 'Sélectionner l'\''interface WAN dans la liste ci-dessous:' 20 51 4 eth0 00:13:3b:0f:c5:54 eth1 f4:f2:6d:00:2f:73 eth2 00:23:7d:c4:7b:f2 vlan832@eth2 00:23:7d:c4:7b:f2
+ shouldExit 127 'Configuration annulée'
+ '[' 127 -ne 0 ']'
+ echo Configuration annulée
Configuration annulée
+ exit 127
+ rm -f /tmp/fileUZ8bls
cat /proc/net/vlan/vlan832
vlan832 VID: 832 REORDER_HDR: 1 dev->priv_flags: 1001
total frames received 68045910
total bytes received 247101742494
Broadcast/Multicast Rcvd 0
total frames transmitted 61368223
total bytes transmitted 27326173576
Device: eth0
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0
vlan832 VID: 832 REORDER_HDR: 1 dev->priv_flags: 1
total frames received 226628
total bytes received 1115024847
Broadcast/Multicast Rcvd 0
total frames transmitted 433921
total bytes transmitted 456375334
Device: eth2
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
iface vlan838 inet manual
vlan-id 838
vlan-raw-device _WANIFACE_
up /bin/ip link set dev vlan838 type vlan egress 0:4 1:4 2:4 3:4 4:4 5:4 6:6 7:4
up /opt/isc-dhcp/sbin/dhclient -4 -cf /etc/dhcp/orange/838.conf -v -pf /run/dhclient.vlan838.pid -lf /var/lib/dhcp/dhclient.vlan838.leases -sf /sbin/dhclient-script vlan838
post-down dhclient -x -pf /run/dhclient.vlan838.pid || true
auto vlan832
iface vlan832 inet6 manual
vlan-id 832
vlan-raw-device eth2
up dhclient -v -4 -cf /etc/dhcp/832.conf -pf /run/dhclient.vlan832.pid -lf /var/lib/dhcp/dhclient.vlan832.leases vlan832
up /bin/ip link set dev vlan832 type vlan egress 0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0
down dhclient -v -x -cf /etc/dhcp/orange/832.conf -lf /var/lib/dhcp/dhclient.vlan832.leases -pf /run/dhclient.vlan832.pid vlan832 || true
et si j'oublie rien, c'est tout pour le liveExactement. Pas besoin de bridge.
vlan838 VID: 838 REORDER_HDR: 1 dev->priv_flags: 4001
total frames received 3
total bytes received 1191
Broadcast/Multicast Rcvd 0
total frames transmitted 109
total bytes transmitted 14608
Device: eth2
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:4 1:4 2:4 3:4 4:4 5:4 6:6 7:4
vlan840 VID: 840 REORDER_HDR: 1 dev->priv_flags: 4001
total frames received 38
total bytes received 1900
Broadcast/Multicast Rcvd 38
total frames transmitted 93
total bytes transmitted 9772
Device: eth2
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:5 1:5 2:5 3:5 4:5 5:5 6:6 7:5
auto vlan22
iface vlan22 inet static
vlan-id 22
vlan-raw-device eth1
address 192.168.101.254
netmask 255.255.255.0
network 192.168.101.0
broadcast 192.168.101.255
# le réseau 192.168.101.0/24 sur le vlan22 de eth1, avec la réserve d'adresses dynamiques
subnet 192.168.101.0 netmask 255.255.255.0 {
range dynamic-bootp 192.168.101.20 192.168.101.25;
max-lease-time 3600;
default-lease-time 3600;
option domain-name-servers 81.253.149.1, 80.10.246.130;
option subnet-mask 255.255.255.0;
option routers 192.168.101.254;
}
##------------------------------------------------------
## Enable Quickleave mode (Sends Leave instantly)
##------------------------------------------------------
quickleave
##------------------------------------------------------
## Configuration for vlan840 (Upstream Interface)
##------------------------------------------------------
phyint vlan840 upstream ratelimit 0 threshold 1
altnet 193.0.0.0/8
altnet 81.0.0.0/8
altnet 172.0.0.0/8
altnet 80.0.0.0/8
##------------------------------------------------------
## Configuration for vlan22 (Downstream Interface)
##------------------------------------------------------
phyint vlan22 downstream ratelimit 0 threshold 1
##------------------------------------------------------
## Configuration for (Disabled Interface)
##------------------------------------------------------
phyint eth0 disabled
phyint eth1 disabled
phyint eth2 disabled
iptables -A INPUT -p udp --dport 8200 -i vlan840 -j ACCEPT
iptables -A INPUT -p udp --dport 8202 -i vlan840 -j ACCEPT
iptables -A INPUT -p udp --dport 5678 -i vlan840 -j ACCEPT
iptables -A INPUT -p igmp -i vlan840 -j ACCEPT
iptables -A INPUT -p igmp -i vlan22 -j ACCEPT
iptables -A FORWARD -p udp --dport 8200 -i vlan840 -o vlan22 -j ACCEPT
iptables -A FORWARD -p udp --dport 8202 -i vlan840 -o vlan22 -j ACCEPT
iptables -A FORWARD -p udp --dport 5000 -i vlan22 -o vlan838 -j ACCEPT
iptables -A FORWARD -p tcp --dport 8554 -i vlan22 -o vlan838 -j ACCEPT
a noté que certain disent qu'il faut rajouter un nat sur le vlan838 mais chez moi pas besoin sachant que j'ai pas pu tester la vod completement.iptables -t nat -A POSTROUTING -o vlan838 -j MASQUERADE
sleep 20
cd /
./iptables5.sh
./failover.sh &
igmpproxy /etc/igmpproxy.conf
root@gateway:~$ ip route
default via 90.116.160.1 dev eth1.832 proto zebra
10.138.104.0/21 dev eth1.838 proto kernel scope link src 10.138.111.182
80.10.117.120/31 via 10.138.111.254 dev eth1.838
80.10.204.0/22 via 10.138.111.254 dev eth1.838
81.253.206.0/24 via 10.138.111.254 dev eth1.838
81.253.210.0/23 via 10.138.111.254 dev eth1.838
81.253.214.0/23 via 10.138.111.254 dev eth1.838
90.116.160.0/21 dev eth1.832 proto kernel scope link src 90.116.162.5
172.19.20.0/23 via 10.138.111.254 dev eth1.838
172.20.224.167 via 10.138.111.254 dev eth1.838
172.23.12.0/22 via 10.138.111.254 dev eth1.838
192.168.255.254 dev eth1.840 proto kernel scope link
193.253.67.88/29 via 10.138.111.254 dev eth1.838
193.253.153.227 via 10.138.111.254 dev eth1.838
193.253.153.228 via 10.138.111.254 dev eth1.838
root@gateway:~# ip route
default via 90.113.24.1 dev vlan832
10.8.0.0/24 via 10.8.0.4 dev tun0
10.8.0.4 dev tun0 proto kernel scope link src 10.8.0.3
10.226.35.0/24 dev vlan838 proto kernel scope link src 10.226.35.125
88.164.71.0/24 dev eth0 proto kernel scope link src 88.164.71.X
90.113.24.0/21 dev vlan832 proto kernel scope link src 90.113.31.X
192.168.4.0/24 dev vlan840 proto kernel scope link src 192.168.4.254
192.168.100.0/24 dev eth1 proto kernel scope link src 192.168.100.254
192.168.101.0/24 dev vlan22 proto kernel scope link src 192.168.101.254
vlan838 VID: 838 REORDER_HDR: 1 dev->priv_flags: 1
total frames received 1
total bytes received 397
Broadcast/Multicast Rcvd 0
total frames transmitted 67
total bytes transmitted 10810
Device: eth2
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:4 1:4 2:4 3:4 4:4 5:4 6:6 7:4
vlan838 Link encap:Ethernet HWaddr 00:23:7d:c4:7b:f2
inet adr:10.226.35.125 Bcast:10.226.35.255 Masque:255.255.255.0
adr inet6: fe80::223:7dff:fec4:7bf2/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:1 errors:0 dropped:0 overruns:0 frame:0
TX packets:67 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:397 (397.0 B) TX bytes:10810 (10.5 KiB)
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
interface "eth1.838" {
send vendor-class-identifier "sagem";
send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";
send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;
request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3442-classless-static-routes;
}
# VLAN VoD
auto vlan838
iface vlan838 inet manual
vlan-id 838
vlan-raw-device eth2
up dhclient -4 -cf /etc/dhcp/838.conf -v -pf /run/dhclient.vlan838.pid -lf /var/lib/dhcp/dhclient.vlan838.leases -sf /sbin/dhclient-script vlan838
up /bin/ip link set dev vlan838 type vlan egress 0:4 1:4 2:4 3:4 4:4 5:4 6:6 7:4
post-down dhclient -x -pf /run/dhclient.vlan838.pid || true
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
interface "vlan838" {
send vendor-class-identifier "sagem";
send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox4";
send dhcp-client-identifier 1:AC:84:C9:XX:XX:XX;
request subnet-mask, broadcast-address, routers, domain-name-servers, interface-mtu, rfc3442-classless-static-routes;
}
root@gateway:~# ifup -v vlan838
Configuring interface vlan838=vlan838 (inet)
run-parts --exit-on-error --verbose /etc/network/if-pre-up.d
run-parts: executing /etc/network/if-pre-up.d/bridge
run-parts: executing /etc/network/if-pre-up.d/vlan
Set name-type for VLAN subsystem. Should be visible in /proc/net/vlan/config
Added VLAN with VID == 838 to IF -:eth2:-
dhclient -4 -cf /etc/dhcp/838.conf -v -pf /run/dhclient.vlan838.pid -lf /var/lib/dhcp/dhclient.vlan838.leases -sf /sbin/dhclient-script vlan838
Internet Systems Consortium DHCP Client 4.3.1
Copyright 2004-2014 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Entering (PREINIT)
Exiting (PREINIT)
Listening on LPF/vlan838/00:23:7d:c4:7b:f2
Sending on LPF/vlan838/00:23:7d:c4:7b:f2
Sending on Socket/fallback
DHCPREQUEST on vlan838 to 255.255.255.255 port 67
DHCPACK from 10.226.35.254
Entering (REBOOT)
Exiting (REBOOT)
bound to 10.226.35.125 -- renewal in 43230 seconds.
/bin/ip link set dev vlan838 type vlan egress 0:4 1:4 2:4 3:4 4:4 5:4 6:6 7:4
run-parts --exit-on-error --verbose /etc/network/if-up.d
run-parts: executing /etc/network/if-up.d/bind9
run-parts: executing /etc/network/if-up.d/ip
run-parts: executing /etc/network/if-up.d/mountnfs
run-parts: executing /etc/network/if-up.d/openssh-server
run-parts: executing /etc/network/if-up.d/openvpn
run-parts: executing /etc/network/if-up.d/upstart
root@gateway:~# ip route
default via 90.113.24.1 dev vlan832
10.8.0.0/24 via 10.8.0.4 dev tun0
10.8.0.4 dev tun0 proto kernel scope link src 10.8.0.3
10.226.35.0/24 dev vlan838 proto kernel scope link src 10.226.35.125
80.10.117.120/31 via 10.226.35.254 dev vlan838
80.10.204.0/22 via 10.226.35.254 dev vlan838
81.253.206.0/24 via 10.226.35.254 dev vlan838
81.253.210.0/23 via 10.226.35.254 dev vlan838
81.253.214.0/23 via 10.226.35.254 dev vlan838
88.164.71.0/24 dev eth0 proto kernel scope link src 88.164.71.X
90.113.24.0/21 dev vlan832 proto kernel scope link src 90.113.24.X
172.19.20.0/23 via 10.226.35.254 dev vlan838
172.20.224.167 via 10.226.35.254 dev vlan838
172.23.12.0/22 via 10.226.35.254 dev vlan838
192.168.4.0/24 dev vlan840 proto kernel scope link src 192.168.4.254
192.168.10.0/24 via 10.8.0.4 dev tun0
192.168.90.0/24 via 10.8.0.4 dev tun0
192.168.100.0/24 dev eth1 proto kernel scope link src 192.168.100.254
192.168.101.0/24 dev vlan22 proto kernel scope link src 192.168.101.254
192.168.110.0/24 via 10.8.0.4 dev tun0
192.168.120.0/24 via 10.8.0.4 dev tun0
192.168.130.0/24 via 10.8.0.4 dev tun0
192.168.140.0/24 via 10.8.0.4 dev tun0
192.168.150.0/24 via 10.8.0.4 dev tun0
192.168.151.0/24 via 10.8.0.4 dev tun0
192.168.152.0/24 via 10.8.0.4 dev tun0
192.168.153.0/24 via 10.8.0.4 dev tun0
192.168.160.0/24 via 10.8.0.4 dev tun0
192.168.200.0/24 via 10.8.0.4 dev tun0
192.168.210.0/24 via 10.8.0.4 dev tun0
193.253.67.88/29 via 10.226.35.254 dev vlan838
193.253.153.227 via 10.226.35.254 dev vlan838
193.253.153.228 via 10.226.35.254 dev vlan838
Je viens de m’apercevoir que je n'ai plus accès a internet en passant par la livebox, l'accès via le routeur debian est ok.
Toutes les tentatives d’accès à internet donnent la page livebox/captivePortal.html
Pourtant la livebox donne encore la télé et le téléphone
Dans les menus de la livebox tout est Ok
La livebox directement sur Internet permet de récupérer internet
Bizarre
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="<MAC_ADDR_LB>", NAME="wan"
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="<MAC_ADDR_LAN>", NAME="lan"
SUBSYSTEM=="net", ACTION=="add", DRIVERS=="?*", ATTR{address}=="<MAC_ADDR_WLAN>", NAME="wifi"
allow-auto lan
iface lan inet static
address 192.168.0.1
netmask 255.255.255.0
allow-auto wan
iface wan inet manual
hwaddress <MAC_ADDR_LB>
allow-auto wan.832
iface wan.832 inet dhcp
vlan-id 832
vlan-raw-device wan
iface wan.832 inet6 dhcp
vlan-id 832
vlan-raw-device wan
accept_ra 2
request_prefix 1
option rfc3118-authentication code 90 = string;
option dhcp6.auth code 11 = string;
option dhcp6.userclass code 15 = string;
option dhcp6.vendorclass code 16 = string;
interface "wan.832" {
send vendor-class-identifier "sagem";
send dhcp-client-identifier <MAC_ADDR_LB>;
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:<ORANGE_ID>;
request subnet-mask,
routers,
domain-name,
broadcast-address,
dhcp-lease-time,
dhcp-renewal-time,
dhcp-rebinding-time,
rfc3118-authentication;
send dhcp6.client-id 00:03:00:01:7c:26:64:64:cc:c8;
send dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;
send dhcp6.userclass 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
send dhcp6.auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:<ORANGE_ID>;
request dhcp6.auth, dhcp6.name-servers, dhcp6.sip-servers-names;
}
make_resolv_conf() { : ; }
ip_addr_add () {
local prefix=$1
local valid_lft=$2
local preferred_lft=$3
ip -6 addr add ${prefix%%/*}1/$((8 + ${prefix##*/})) dev lan \
scope global valid_lft ${valid_lft} preferred_lft ${preferred_lft}
return $?
}
ip_addr_del () {
local prefix=$1
ip -6 addr del ${prefix%%/*}1/$((8 + ${prefix##*/})) dev lan
return $?
}
ip_addr_flush () {
ip -6 addr flush dev lan scope global
return $?
}
if [ "$interface" = "wan.832" ]
then
case $reason in
PREINIT6)
ip_addr_flush
;;
BOUND6)
if [ -z "${ip6_prefix}" ]; then
exit 2
fi
ip_addr_add ${ip6_prefix} ${max_life} ${preferred_life}
exit_status=$((exit_status|$?))
;;
REBIND6|RENEW6)
if [ -z "${new_ip6_prefix}" ]; then
exit 2
fi
if [ -n "${old_ip6_prefix}" ] && [ "${new_ip6_address}" != "${old_ip6_address}" ]; then
ip_addr_del ${old_ip6_prefix}
fi
ip_addr_add ${new_ip6_prefix} ${new_max_life} ${new_preferred_life}
exit_status=$((exit_status|$?))
;;
EXPIRE6|RELEASE6|STOP6)
;;
esac
fi
log-queries
log-dhcp
server=127.0.0.1#54
domain-needed
bogus-priv
filterwin2k
localise-queries
local=/local/
domain=local
expand-hosts
no-negcache
no-resolv
no-poll
enable-ra
dhcp-range=tag:lan, ::100, ::1ff, constructor:lan, ra-names, 64, 12h
dhcp-authoritative
dhcp-leasefile=/tmp/dhcp.leases
dhcp-range=192.168.0.100,192.168.0.200,12h
dhcp-option=1,255.255.255.0
dhcp-option=3,192.168.0.1
dhcp-option=6,192.168.0.1
read-ethers
# A more comprehensive example config can be found in
# /usr/share/doc/dnscrypt-proxy/examples/dnscrypt-proxy.conf
ResolverName random
Daemonize no
# LocalAddress only applies to users of the init script. systemd users must
# change the dnscrypt-proxy.socket file.
# LocalAddress 127.0.2.1:53
[Unit]
Description=dnscrypt-proxy listening socket
Documentation=man:dnscrypt-proxy(8)
Wants=dnscrypt-proxy-resolvconf.service
[Socket]
ListenStream=127.0.0.1:54
ListenDatagram=127.0.0.1:54
[Install]
WantedBy=sockets.target
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
# ufw-before-input
# ufw-before-output
# ufw-before-forward
#
# nat Table rules
*nat
:PREROUTING ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A PREROUTING -i wan.832 -p tcp --dport 3122 -j DNAT --to-destination 192.168.0.10:22
-A POSTROUTING -s 192.168.0.0/24 -o wan.832 -j MASQUERADE
COMMIT
# Don't delete these required lines, otherwise there will be errors
*filter
:ufw-before-input - [0:0]
:ufw-before-output - [0:0]
:ufw-before-forward - [0:0]
:ufw-not-local - [0:0]
# End required lines
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# quickly process packets for which we already have a connection
-A ufw-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# drop INVALID packets (logs these in loglevel medium and higher)
-A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny
-A ufw-before-input -m conntrack --ctstate INVALID -j DROP
# ok icmp codes for INPUT
-A ufw-before-input -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-input -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-input -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-input -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-input -p icmp --icmp-type echo-request -j ACCEPT
# ok icmp code for FORWARD
-A ufw-before-forward -p icmp --icmp-type destination-unreachable -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type source-quench -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type time-exceeded -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type parameter-problem -j ACCEPT
-A ufw-before-forward -p icmp --icmp-type echo-request -j ACCEPT
# allow dhcp client to work
-A ufw-before-input -p udp --sport 67 --dport 68 -j ACCEPT
#
# ufw-not-local
#
-A ufw-before-input -j ufw-not-local
# if LOCAL, RETURN
-A ufw-not-local -m addrtype --dst-type LOCAL -j RETURN
# if MULTICAST, RETURN
-A ufw-not-local -m addrtype --dst-type MULTICAST -j RETURN
# if BROADCAST, RETURN
-A ufw-not-local -m addrtype --dst-type BROADCAST -j RETURN
# all other non-local packets are dropped
-A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny
-A ufw-not-local -j DROP
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
# allow MULTICAST UPnP for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j ACCEPT
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
#
# rules.before
#
# Rules that should be run before the ufw command line added rules. Custom
# rules should be added to one of these chains:
# ufw6-before-input
# ufw6-before-output
# ufw6-before-forward
#
*mangle
:PREROUTING ACCEPT [0:0]
-A POSTROUTING -o wan.832 -p udp --dport 547 -j DSCP --set-dscp-class CS6
COMMIT
# Don't delete these required lines, otherwise there will be errors
*filter
:ufw6-before-input - [0:0]
:ufw6-before-output - [0:0]
:ufw6-before-forward - [0:0]
# End required lines
# allow all on loopback
-A ufw6-before-input -i lo -j ACCEPT
-A ufw6-before-output -o lo -j ACCEPT
# drop packets with RH0 headers
-A ufw6-before-input -m rt --rt-type 0 -j DROP
-A ufw6-before-forward -m rt --rt-type 0 -j DROP
-A ufw6-before-output -m rt --rt-type 0 -j DROP
# quickly process packets for which we already have a connection
-A ufw6-before-input -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw6-before-output -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A ufw6-before-forward -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
# drop INVALID packets (logs these in loglevel medium and higher)
-A ufw6-before-input -m conntrack --ctstate INVALID -j ufw6-logging-deny
-A ufw6-before-input -m conntrack --ctstate INVALID -j DROP
# ok icmp codes for INPUT (rfc4890, 4.4.1 and 4.4.2)
-A ufw6-before-input -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
# codes 0 and 1
-A ufw6-before-input -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
# codes 0-2
-A ufw6-before-input -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type echo-request -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type router-solicitation -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT
# IND solicitation
-A ufw6-before-input -p icmpv6 --icmpv6-type 141 -m hl --hl-eq 255 -j ACCEPT
# IND advertisement
-A ufw6-before-input -p icmpv6 --icmpv6-type 142 -m hl --hl-eq 255 -j ACCEPT
# MLD query
-A ufw6-before-input -p icmpv6 --icmpv6-type 130 -s fe80::/10 -j ACCEPT
# MLD report
-A ufw6-before-input -p icmpv6 --icmpv6-type 131 -s fe80::/10 -j ACCEPT
# MLD done
-A ufw6-before-input -p icmpv6 --icmpv6-type 132 -s fe80::/10 -j ACCEPT
# MLD report v2
-A ufw6-before-input -p icmpv6 --icmpv6-type 143 -s fe80::/10 -j ACCEPT
# SEND certificate path solicitation
-A ufw6-before-input -p icmpv6 --icmpv6-type 148 -m hl --hl-eq 255 -j ACCEPT
# SEND certificate path advertisement
-A ufw6-before-input -p icmpv6 --icmpv6-type 149 -m hl --hl-eq 255 -j ACCEPT
# MR advertisement
-A ufw6-before-input -p icmpv6 --icmpv6-type 151 -s fe80::/10 -m hl --hl-eq 1 -j ACCEPT
# MR solicitation
-A ufw6-before-input -p icmpv6 --icmpv6-type 152 -s fe80::/10 -m hl --hl-eq 1 -j ACCEPT
# MR termination
-A ufw6-before-input -p icmpv6 --icmpv6-type 153 -s fe80::/10 -m hl --hl-eq 1 -j ACCEPT
# ok icmp codes for OUTPUT (rfc4890, 4.4.1 and 4.4.2)
-A ufw6-before-output -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
# codes 0 and 1
-A ufw6-before-output -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
# codes 0-2
-A ufw6-before-output -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type echo-request -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type router-solicitation -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type neighbor-advertisement -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type neighbor-solicitation -m hl --hl-eq 255 -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type router-advertisement -m hl --hl-eq 255 -j ACCEPT
# IND solicitation
-A ufw6-before-output -p icmpv6 --icmpv6-type 141 -m hl --hl-eq 255 -j ACCEPT
# IND advertisement
-A ufw6-before-output -p icmpv6 --icmpv6-type 142 -m hl --hl-eq 255 -j ACCEPT
# MLD query
-A ufw6-before-output -p icmpv6 --icmpv6-type 130 -s fe80::/10 -j ACCEPT
# MLD report
-A ufw6-before-output -p icmpv6 --icmpv6-type 131 -s fe80::/10 -j ACCEPT
# MLD done
-A ufw6-before-output -p icmpv6 --icmpv6-type 132 -s fe80::/10 -j ACCEPT
# MLD report v2
-A ufw6-before-output -p icmpv6 --icmpv6-type 143 -s fe80::/10 -j ACCEPT
# SEND certificate path solicitation
-A ufw6-before-output -p icmpv6 --icmpv6-type 148 -m hl --hl-eq 255 -j ACCEPT
# SEND certificate path advertisement
-A ufw6-before-output -p icmpv6 --icmpv6-type 149 -m hl --hl-eq 255 -j ACCEPT
# MR advertisement
-A ufw6-before-output -p icmpv6 --icmpv6-type 151 -s fe80::/10 -m hl --hl-eq 1 -j ACCEPT
# MR solicitation
-A ufw6-before-output -p icmpv6 --icmpv6-type 152 -s fe80::/10 -m hl --hl-eq 1 -j ACCEPT
# MR termination
-A ufw6-before-output -p icmpv6 --icmpv6-type 153 -s fe80::/10 -m hl --hl-eq 1 -j ACCEPT
# ok icmp codes for FORWARD (rfc4890, 4.3.1)
-A ufw6-before-forward -p icmpv6 --icmpv6-type destination-unreachable -j ACCEPT
-A ufw6-before-forward -p icmpv6 --icmpv6-type packet-too-big -j ACCEPT
# codes 0 and 1
-A ufw6-before-forward -p icmpv6 --icmpv6-type time-exceeded -j ACCEPT
# codes 0-2
-A ufw6-before-forward -p icmpv6 --icmpv6-type parameter-problem -j ACCEPT
-A ufw6-before-forward -p icmpv6 --icmpv6-type echo-request -j ACCEPT
-A ufw6-before-forward -p icmpv6 --icmpv6-type echo-reply -j ACCEPT
# ok icmp codes for FORWARD (rfc4890, 4.3.2)
# Home Agent Address Discovery Reques
-A ufw6-before-input -p icmpv6 --icmpv6-type 144 -j ACCEPT
# Home Agent Address Discovery Reply
-A ufw6-before-input -p icmpv6 --icmpv6-type 145 -j ACCEPT
# Mobile Prefix Solicitation
-A ufw6-before-input -p icmpv6 --icmpv6-type 146 -j ACCEPT
# Mobile Prefix Advertisement
-A ufw6-before-input -p icmpv6 --icmpv6-type 147 -j ACCEPT
# allow dhcp client to work
-A ufw6-before-input -p udp -s fe80::/10 --sport 547 -d fe80::/10 --dport 546 -j ACCEPT
# allow MULTICAST mDNS for service discovery
-A ufw6-before-input -p udp -d ff02::fb --dport 5353 -j ACCEPT
# allow MULTICAST UPnP for service discovery
-A ufw6-before-input -p udp -d ff02::f --dport 1900 -j ACCEPT
# don't delete the 'COMMIT' line or these rules won't be processed
COMMIT
# Set to yes to apply rules to support IPv6 (no means only IPv6 on loopback
# accepted). You will need to 'disable' and then 'enable' the firewall for
# the changes to take affect.
IPV6=yes
# Set the default input policy to ACCEPT, DROP, or REJECT. Please note that if
# you change this you will most likely want to adjust your rules.
DEFAULT_INPUT_POLICY="DROP"
# Set the default output policy to ACCEPT, DROP, or REJECT. Please note that if
# you change this you will most likely want to adjust your rules.
DEFAULT_OUTPUT_POLICY="ACCEPT"
# Set the default forward policy to ACCEPT, DROP or REJECT. Please note that
# if you change this you will most likely want to adjust your rules
DEFAULT_FORWARD_POLICY="ACCEPT"
# Set the default application policy to ACCEPT, DROP, REJECT or SKIP. Please
# note that setting this to ACCEPT may be a security risk. See 'man ufw' for
# details
DEFAULT_APPLICATION_POLICY="SKIP"
# By default, ufw only touches its own chains. Set this to 'yes' to have ufw
# manage the built-in chains too. Warning: setting this to 'yes' will break
# non-ufw managed firewall rules
MANAGE_BUILTINS=yes
#
# IPT backend
#
# only enable if using iptables backend
IPT_SYSCTL=/etc/ufw/sysctl.conf
# Extra connection tracking modules to load. Complete list can be found in
# net/netfilter/Kconfig of your kernel source. Some common modules:
# nf_conntrack_irc, nf_nat_irc: DCC (Direct Client to Client) support
# nf_conntrack_netbios_ns: NetBIOS (samba) client support
# nf_conntrack_pptp, nf_nat_pptp: PPTP over stateful firewall/NAT
# nf_conntrack_ftp, nf_nat_ftp: active FTP support
# nf_conntrack_tftp, nf_nat_tftp: TFTP support (server side)
IPT_MODULES="nf_conntrack_irc nf_nat_irc nf_conntrack_ftp nf_nat_ftp nf_conntrack_tftp nf_nat_tftp"
sudo ufw allow in on lan from any to any
*mangle
-A POSTROUTING -o wan.832 -p udp --dport 67 -j DSCP --set-dscp-class CS6
COMMIT
Aug 9 16:07:53 routeurlinux dhclient[23351]: DHCPREQUEST of 90.78.107.158 on wan0.832 to 80.10.247.48 port 67
Aug 9 16:07:53 routeurlinux dhclient[23351]: DHCPNAK from 80.10.247.48
Aug 9 16:07:53 routeurlinux dhclient[23351]: DHCPDISCOVER on wan0.832 to 255.255.255.255 port 67 interval 5
Aug 9 16:07:53 routeurlinux dhclient[23351]: DHCPREQUEST of 83.193.162.x on wan0.832 to 255.255.255.255 port 67
Aug 9 16:07:53 routeurlinux dhclient[23351]: DHCPOFFER of 83.193.162.x from 83.193.160.1
Aug 9 16:07:54 routeurlinux dhclient[23351]: DHCPACK of 83.193.162.x from 83.193.160.1
Aug 9 16:07:54 routeurlinux dhclient[23351]: bound to 83.193.162.x -- renewal in 38412 seconds.
Bah vu les logs je dirais que non :)
En plus je ne vois pas comment unpfSense(en fait j'ai rêvé il ne parle jamais de pfSense mais on est sur un sujet Linux/openbsd) configuré en DHCP pourrait fallback en PPPoE... ce n'est pas une Livebox...
Apres, il n'est pas étonnant qu'Orange redéploie ses plages d'IP de l'ancienne architecture vers la nouvelle au fur et à mesure que les clients sont migres, surtout maintenant que ça concerne aussi les clients ADSL
ipv6only
duid
authprotocol token 0x123/0x456
authtoken 0x123 "" forever fti/xxxxxxx
authtoken 0x456 "" forever dhcpliveboxfr250
userclass FSVDSL_livebox.Internet.softathome.livebox3
vendclass 1038 sagem
persistent
noipv6rs
allowinterfaces vlan832
interface vlan832
ia_pd 1
Jusqu'à maintenant la seule solution était dibbler (http://klub.com.pl/dhcpv6/), qui fonctionnait un peu par hasard, mais après avoir contacté le développeur de dhcpcd (https://roy.marples.name/projects/dhcpcd), celui-ci à très gentiment proposé de développer le support pour les options manquantes.
quickleave
phyint eth0.840 upstream ratelimit 0 threshold 1
altnet 80.0.0.0/8
altnet 81.0.0.0/8
altnet 172.0.0.0/8
altnet 193.0.0.0/8
phyint eth1 downstream ratelimit 0 threshold 1
- quelques règles iptables de base pour avoir le net sur le lan + TV :echo 1 > /proc/sys/net/ipv4/ip_forward
# Vidage des chaines
iptables -F
# Destruction des chaines personnelles
iptables -X
iptables -t nat -X
iptables -t nat -F
# Ignorer toute connexion (politique par défaut)
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
# Activation du traffic localhost et eth1 (lan)
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A INPUT -i eth1 -j ACCEPT
iptables -A OUTPUT -o eth1 -j ACCEPT
#Tous les protocoles changent de file vers le skb 01 dont on a mis la prio à 0
iptables -t mangle -A POSTROUTING -o eth0.832 -j CLASSIFY --set-class 0000:0001
#On maintient les paquets réseaux dans une file à prio 6
iptables -t mangle -A POSTROUTING -o eth0.832 -p igmp -j CLASSIFY --set-class 0000:0006
iptables -t mangle -A POSTROUTING -o eth0.832 -p icmp -j CLASSIFY --set-class 0000:0006
# Connexions etablies et relatives acceptees
iptables -A INPUT -i eth0.832 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0.832 -m state --state ESTABLISHED,RELATED,NEW -j ACCEPT
iptables -A FORWARD -i eth0.832 -m state --state ESTABLISHED,RELATED -j ACCEPT
# Activation IGMP pour la TV :
iptables -A INPUT -i eth0.840 -p igmp -j ACCEPT
iptables -A OUTPUT -o eth0.840 -p igmp -j ACCEPT
iptables -A FORWARD -i eth0.840 -s 80.0.0.0/8 -j ACCEPT
iptables -A FORWARD -i eth0.840 -s 81.0.0.0/8 -j ACCEPT
iptables -A FORWARD -i eth0.840 -s 172.0.0.0/8 -j ACCEPT
iptables -A FORWARD -i eth0.840 -s 193.0.0.0/8 -j ACCEPT
# Activation du Forwarding et du NAT
iptables -A FORWARD -o eth0.832 -j ACCEPT
iptables -A POSTROUTING -t nat -o eth0.832 -j MASQUERADE
#!/bin/sh
for i in 0 1 2 3 4 5 6 7; do
vconfig set_egress_map vlan832 $i $i
done
vconfig set_egress_map vlan832 1 0
vconfig set_egress_map vlan832 0 6
Bonjour,
Se serai possible d'avoir quelque explication sur la mise en place de votre tutorial au niveau des fichiers car vous mettez pas les emplacements des fichiers à éditer.
Exemple avec ce script: (Comment on le lance automatiquement par exemple)Code: [Sélectionner]#!/bin/sh
for i in 0 1 2 3 4 5 6 7; do
vconfig set_egress_map vlan832 $i $i
done
vconfig set_egress_map vlan832 1 0
vconfig set_egress_map vlan832 0 6
auto eth0
iface eth0 inet dhcp
pre-up /chemin/vers/le/script
iface eth0 inet manual
post-up ip route add 192.168.1.2 via 192.168.1.1 dev eth0
post-up /sbin/ip l s up dev eth0
auto eth0.832
iface eth0.832 inet manual
vlan-id 832
vlan-raw-device eth0
up dhclient -cf /etc/dhcp/dhclient.conf -v -pf /var/run/dhclient.vlan832.pid -lf /var/lib/dhcp/dhclient.vlan832.leases eth0.832
up /bin/ip link set dev eth0.832 type vlan egress 0:6 1:0 2:2 3:3 4:4 5:5 6:6 7:7
up iptables-restore < /etc/iptables.up.rules
down dhclient -x -pf /var/run/dhclient.vlan832.pid || true
iface eth0.832 inet6 manual
Salut
Comment etre sure que ma config qui fonctionne soit bien remis en place en cas de perte de connection ou de renew de l'ip ?
Car j'ai l'impression que suite au renew je n'ai plus internet
Idem si je debranche mon rj45 tout ne se relance pas
Une idée ?
Tout est lance dans /etc/network/interfacesCode: [Sélectionner]iface eth0 inet manual
post-up ip route add 192.168.1.2 via 192.168.1.1 dev eth0
post-up /sbin/ip l s up dev eth0
auto eth0.832
iface eth0.832 inet manual
vlan-id 832
vlan-raw-device eth0
up dhclient -cf /etc/dhcp/dhclient.conf -v -pf /var/run/dhclient.vlan832.pid -lf /var/lib/dhcp/dhclient.vlan832.leases eth0.832
up /bin/ip link set dev eth0.832 type vlan egress 0:6 1:0 2:2 3:3 4:4 5:5 6:6 7:7
up iptables-restore < /etc/iptables.up.rules
down dhclient -x -pf /var/run/dhclient.vlan832.pid || true
iface eth0.832 inet6 manual
Merci
clear_tmp_enable="YES"
syslogd_flags="-ss"
sendmail_enable="NONE"
hostname="home-router"
sshd_enable="YES"
ntpd_enable="YES"
# Set dumpdev to "AUTO" to enable crash dumps, "NO" to disable
dumpdev="NO"
ifconfig_igb0="up"
ifconfig_igb1="up"
ifconfig_igb2="up"
vlans_igb1="832 835"
cloned_interfaces="bridge0 pflog0 pflog1"
ifconfig_igb1_832="vlanpcp 6 dhcp"
ifconfig_igb1_835="vlanpcp 0"
ifconfig_bridge0="inet 192.168.2.250/24 addm igb2 up"
pf_enable="YES"
gateway_enable="YES"
dhcpd_enable="YES"
dhcpd_flags="bridge0 wlan0"
named_enable="YES"
wlans_ath0="wlan0"
create_args_wlan0="wlanmode hostap"
hostapd_enable="YES"
ifconfig_wlan0="inet 192.168.3.250/24 up"
wifi_iface="wlan0"
wan_vlan_iface="igb1.835"
wan_iface="igb1.832"
wan_iface_raw="igb1"
servers_iface="igb0"
blocklog_iface="pflog1"
set skip on { lo }
#set reassemble yes
# Lans
table <lan_v4> { 192.168.2.0/24 192.168.3.0/24 }
table <lan_v6> persist
# for World of warcraft ddos problems with Linux PCs
scrub out on $wan_iface min-ttl 128
# Necessary
scrub out on $wan_iface inet proto { tcp udp esp } set-tos cs6
nat on $wan_iface inet from <lan_v4> -> ($wan_iface)
block log # block stateless traffic
block log inet6
pass keep state # establish keep-state
# SSDP/UPNP blocked on WiFi
block in log (to $blocklog_iface) quick on $wifi_iface proto udp to port 1900
# NAT to VLAN832 tunnel
pass out quick on $wan_iface inet proto { udp } to port { bootps bootpc } set prio 6
pass out quick on $wan_iface inet proto { tcp udp esp } set prio 0
pass out quick on $wan_iface inet6 proto { icmp6 } set prio 6
pass out quick on $wan_iface inet6 proto { udp } from port 546 set prio 6
pass out on $wan_iface inet6 proto { tcp udp icmp6 } set prio 0
# Local -> remote DNS servers
pass out on $wan_iface inet proto { tcp udp } from ($wan_iface) to port domain
pass out on $wan_iface inet6 from <lan_v6> keep state
interface "igb1.832" {
send dhcp-class-identifier "sagem";
send dhcp-client-identifier "00:0d:11:22:33:44";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send option-90 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;
request subnet-mask, routers,
domain-name, broadcast-address, dhcp-lease-time,
dhcp-renewal-time, dhcp-rebinding-time;
# dhcp-renewal-time, dhcp-rebinding-time,
#rfc3118-authentication;
}
Frame 13: 404 bytes on wire (3232 bits), 404 bytes captured (3232 bits)
Ethernet II, Src: Sagemcom_xx:xx:xx (ec:be:dd:xx:xx:xx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Destination: Broadcast (ff:ff:ff:ff:ff:ff)
Source: Sagemcom_xx:xx:xx (ec:be:dd:xx:xx:xx)
Type: 802.1Q Virtual LAN (0x8100)
802.1Q Virtual LAN, PRI: 6, DEI: 0, ID: 832
110. .... .... .... = Priority: Internetwork Control (6)
...0 .... .... .... = DEI: Ineligible
.... 0011 0100 0000 = ID: 832
Type: IPv4 (0x0800)
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
0100 .... = Version: 4
.... 0101 = Header Length: 20 bytes (5)
Differentiated Services Field: 0x10 (DSCP: Unknown, ECN: Not-ECT)
0001 00.. = Differentiated Services Codepoint: Unknown (4)
.... ..00 = Explicit Congestion Notification: Not ECN-Capable Transport (0)
Total Length: 386
Identification: 0x0000 (0)
Flags: 0x0000
0... .... .... .... = Reserved bit: Not set
.0.. .... .... .... = Don't fragment: Not set
..0. .... .... .... = More fragments: Not set
Fragment offset: 0
Time to live: 128
Protocol: UDP (17)
Header checksum: 0x395c [validation disabled]
[Header checksum status: Unverified]
Source: 0.0.0.0
Destination: 255.255.255.255
User Datagram Protocol, Src Port: 68, Dst Port: 67
Source Port: 68
Destination Port: 67
Length: 366
Checksum: 0xbc71 [unverified]
[Checksum Status: Unverified]
[Stream index: 0]
[Timestamps]
Dynamic Host Configuration Protocol (Discover)
Message type: Boot Request (1)
Hardware type: Ethernet (0x01)
Hardware address length: 6
Hops: 0
Transaction ID: 0xe44e15e9
Seconds elapsed: 14
Bootp flags: 0x0000 (Unicast)
0... .... .... .... = Broadcast flag: Unicast
.000 0000 0000 0000 = Reserved flags: 0x0000
Client IP address: 0.0.0.0
Your (client) IP address: 0.0.0.0
Next server IP address: 0.0.0.0
Relay agent IP address: 0.0.0.0
Client MAC address: Sagemcom_xx:xx:xx (ec:be:dd:xx:xx:xx)
Client hardware address padding: 00000000000000000000
Server host name not given
Boot file name not given
Magic cookie: DHCP
Option: (53) DHCP Message Type (Discover)
Length: 1
DHCP: Discover (1)
Option: (12) Host Name
Length: 8
Host Name: xxxxx
Option: (55) Parameter Request List
Length: 16
Parameter Request List Item: (1) Subnet Mask
Parameter Request List Item: (28) Broadcast Address
Parameter Request List Item: (2) Time Offset
Parameter Request List Item: (121) Classless Static Route
Parameter Request List Item: (3) Router
Parameter Request List Item: (15) Domain Name
Parameter Request List Item: (119) Domain Search
Parameter Request List Item: (6) Domain Name Server
Parameter Request List Item: (12) Host Name
Parameter Request List Item: (67) Bootfile name
Parameter Request List Item: (66) TFTP Server Name
Parameter Request List Item: (51) IP Address Lease Time
Parameter Request List Item: (58) Renewal Time Value
Parameter Request List Item: (59) Rebinding Time Value
Parameter Request List Item: (90) Authentication
Parameter Request List Item: (120) SIP Servers
Option: (60) Vendor class identifier
Length: 5
Vendor class identifier: sagem
Option: (61) Client identifier
Length: 7
Hardware type: Ethernet (0x01)
Client MAC address: Sagemcom_xx:xx:xx (ec:be:dd:xx:xx:xx)
Option: (77) User Class Information
Length: 44
Instance of User Class: [0]
User Class Length: 43
User Class Data: 46535644534c5f6c697665626f782e496e7465726e65742e…
Option: (90) Authentication
Length: 22
Protocol: configuration token (0)
Algorithm: 0
Replay Detection Method: Monotonically-increasing counter (0)
RDM Replay Detection Value: 0x0000000000000000
Authentication Information: fti/uzyxxx
Option: (255) End
Taille 22, c'est l'ancienne chaîne, qui ne doit plus fonctionner (cf https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/).Code: [Sélectionner]Option: (90) Authentication
Length: 22
Protocol: configuration token (0)
Algorithm: 0
Replay Detection Method: Monotonically-increasing counter (0)
RDM Replay Detection Value: 0x0000000000000000
Authentication Information: fti/uzyxxx
Taille 22, c'est l'ancienne chaîne, qui ne doit plus fonctionner (cf https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/).
Je te conseille le script de zoc (https://lafibre.info/remplacer-livebox/cacking-nouveau-systeme-de-generation-de-loption-90-dhcp/msg580713/#msg580713) pour générer la bonne valeur.
Frame 11: 452 bytes on wire (3616 bits), 452 bytes captured (3616 bits)
Ethernet II, Src: ASUSTekC_xxxx (xxxxx), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
802.1Q Virtual LAN, PRI: 6, DEI: 0, ID: 832
Internet Protocol Version 4, Src: 0.0.0.0, Dst: 255.255.255.255
User Datagram Protocol, Src Port: 68, Dst Port: 67
Dynamic Host Configuration Protocol (Discover)
Message type: Boot Request (1)
Hardware type: Ethernet (0x01)
Hardware address length: 6
Hops: 0
Transaction ID: 0x8ad85605
Seconds elapsed: 9
Bootp flags: 0x0000 (Unicast)
Client IP address: 0.0.0.0
Your (client) IP address: 0.0.0.0
Next server IP address: 0.0.0.0
Relay agent IP address: 0.0.0.0
Client MAC address: ASUSTekC_xxxxx (78:24:af:xxxxxx)
Client hardware address padding: 00000000000000000000
Server host name not given
Boot file name not given
Magic cookie: DHCP
Option: (53) DHCP Message Type (Discover)
Option: (12) Host Name
Option: (55) Parameter Request List
Length: 16
Parameter Request List Item: (1) Subnet Mask
Parameter Request List Item: (28) Broadcast Address
Parameter Request List Item: (2) Time Offset
Parameter Request List Item: (121) Classless Static Route
Parameter Request List Item: (3) Router
Parameter Request List Item: (15) Domain Name
Parameter Request List Item: (119) Domain Search
Parameter Request List Item: (6) Domain Name Server
Parameter Request List Item: (12) Host Name
Parameter Request List Item: (67) Bootfile name
Parameter Request List Item: (66) TFTP Server Name
Parameter Request List Item: (51) IP Address Lease Time
Parameter Request List Item: (58) Renewal Time Value
Parameter Request List Item: (59) Rebinding Time Value
Parameter Request List Item: (90) Authentication
Parameter Request List Item: (120) SIP Servers
Option: (60) Vendor class identifier
Length: 5
Vendor class identifier: sagem
Option: (61) Client identifier
Length: 7
Hardware type: Ethernet (0x01)
Client MAC address: Sagemcom_xx:xx:xx (ec:be:dd:xx:xx:xx)
Option: (77) User Class Information
Length: 44
Instance of User Class: [0]
User Class Length: 43
User Class Data: 46535644534c5f6c697665626f782e496e7465726e65742e736f66746174686f6d652e4c…
Option: (90) Authentication
Length: 70
Protocol: configuration token (0)
Algorithm: 0
Replay Detection Method: Monotonically-increasing counter (0)
RDM Replay Detection Value: 0x0000000000000000
Authentication Information: \032\t
Option: (255) End
Merci pour l'info ! bon ce que je craignais arriva, il va falloir que je retrouve le mot de passe envoye par orange...
Merci pour l'info ! bon ce que je craignais arriva, il va falloir que je retrouve le mot de passe envoye par orange...Tu parles de quel mot de passe ?
J'ai bien eu mes identiants avec un simple appel a orange.Le FTI et le mot de passe qu'il ton donné ?
Tu parles de quel mot de passe ?
Celui pour se connecter a la LB5
Ou un autre ?
Le FTI et le mot de passe qu'il ton donné ?
L'identifiant FTI/.... il se retrouve dans la livevox sur la page d'info.
Perso je n'ai recu aucun mot de passe, j'ai eu dans la LB5 une petite etiquette en carton avec le code wifi et le mot de pass pour l'interface admin que l'on peut changer.
Sinon de mon coté j'ai utilisé la chaine récupéré par le petit utilitaire LiveBoxInfos
Ca fonctionne nickel.
Ce qui m'intrigue c'est que ma livebox connectee via le port 4 au MC220L + carlitoxpro ne recoit pas non plus d'IP mais detecte bien etre en mode WAN (RJ45).Il faut que tu valides deja cette étape avant d'aller plus loin.
Internet Systems Consortium DHCP Client 4.4.2-P1
Copyright 2004-2021 Internet Systems Consortium.
All rights reserved.
For info, please visit https://www.isc.org/software/dhcp/
Listening on LPF/enp0s31f6.832/<mac de ma box>
Sending on LPF/enp0s31f6.832/<mac de ma box>
Sending on Socket/fallback
DHCPDISCOVER on enp0s31f6.832 to 255.255.255.255 port 67 interval 4
DHCPOFFER of 172.16.91.xx from 172.16.0.1
DHCPREQUEST for 172.16.91.xx on enp0s31f6.832 to 255.255.255.255 port 67
DHCPREQUEST for 172.16.91.xx on enp0s31f6.832 to 255.255.255.255 port 67
allow-hotplug enp0s31f6.832
iface enp0s31f6.832 inet dhcp
hwaddress <mac de ma box>
vlan-id 832
vlan-raw-device enp0s31f6
up /bin/ip link set dev enp0s31f6.832 type vlan egress 0:6 1:0 2:2 3:3 4:4 5:5 6:6 7:7
up /etc/iptables-orange.sh
option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;
option option-90 code 90 = string;
option dhcp-class-identifier code 70 = string;
send host-name = gethostname();
request subnet-mask, broadcast-address, time-offset, routers,
domain-name, domain-name-servers, domain-search, host-name,
dhcp6.name-servers, dhcp6.domain-search, dhcp6.fqdn, dhcp6.sntp-servers,
netbios-name-servers, netbios-scope, interface-mtu,
rfc3442-classless-static-routes, ntp-servers;
interface "enp0s31f6.832" {
send dhcp-class-identifier "sagem";
send dhcp-client-identifier "<mac de ma box>";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
# c'est la seule string qui semble fonctionner
send option-90 <mon option 90 générée via le lien ci dessous>;
# généré via https://jsfiddle.net/kgersen/3mnsc6wy/22/
request subnet-mask, routers,
domain-name, broadcast-address, dhcp-lease-time,
dhcp-renewal-time, dhcp-rebinding-time;
}
##IPV4
## Tout les protocoles changent de file vers le skb 01 dont on a mis la prio à 0
iptables -t mangle -A POSTROUTING -o enp0s31f6.832 -j CLASSIFY --set-class 0000:0001
##On maintient les paquets réseaux dans une file à prio 6
iptables -t mangle -A POSTROUTING -o enp0s31f6.832 -p igmp -j CLASSIFY --set-class 0000:0006
iptables -t mangle -A POSTROUTING -o enp0s31f6.832 -p icmp -j CLASSIFY --set-class 0000:0006
##Les paquets VOIP(téléphonie orange) sont taggués EF ont les met en prio 5
iptables -t mangle -A POSTROUTING -o enp0s31f6.832 -m dscp --dscp 0x2e -j CLASSIFY --set-class 0000:0005
##Si votre client DHCP n'utilise pas les raw socket il faut envoyer les paquet DHCP dans la file 6 (prio 6)
iptables -t mangle -A POSTROUTING -o enp0s31f6.832 -p udp --dport 67 -j CLASSIFY --set-class 0000:0006
send vendor-class-identifier "sagem"; #option 60
send dhcp-client-identifier xx:xx:xx:xx:xx:xx:xx; #option 61
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox4"; #option 77
send rfc3118-authentication xx:xx; #option 90 (chaine complete)
J'ai aussi mon routeur sous debian.
Il faut que je vois si j'ai encore l'ancienne config quelque part quand je rentre chez moi car maintenant j'ai un switch qui modifie la COS à 6 pour les paquets dhcp.
Le fait que tu obtiennes une IP en 172.x , c'est que quelque chose n'est pas bon.
A première vue, le nom de l'option qui envoie sagem n'est pas bonne dans ton dhclient.conf :Code: [Sélectionner]send vendor-class-identifier "sagem"; #option 60
send dhcp-client-identifier xx:xx:xx:xx:xx:xx:xx; #option 61
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox4"; #option 77
send rfc3118-authentication xx:xx; #option 90 (chaine complete)
Dans ton /etc/network/interfaces , mettre l'adresse mac de la box (hwaddress) n'est pas utile.
up /bin/ip link set dev enp0s31f6.832 type vlan egress 0:6 1:0 2:2 3:3 4:4 5:5 6:6 7:7
en pre-up et maintenant je reçois bien une réponse à mes DHCPREQUEST et je peux prendre mon ip en 172.16.91.18.A mon avis pas d'Internet si tu es en 172.x.En effet, impossible de faire quoi que ce soit avec cette adresse en 172.x
Lu dans un autre topic, si tu obtiens une IP en 172.x c'est que la COS n'est pas bonne pour tes requêtes DHCP.
En page 1 de ce topic, il y a quasiment toutes les commandes liées à la COS.
/bin/ip link set dev enp0s31f6.832 type vlan egress 0:6 1:0 2:2 3:3 4:4 5:5 6:6 7:7
changer la priorité de la file 0 à 6 et celle de la file 1 à 0 et laisser les autres files avec une priorité "par défaut"/etc/iptables-orange.sh
ajouter les règles iptables préconisées dans le premier message.
On s'en fout du DSCP (priorité IP) encore une fois. Ce qui est important c'est la priorité 802.1p (priorité VLAN).J'ai rechecké et normalement le nom est bon partout
Sur les scripts postés je ne vois pas trop ce qui cloche, à vérifier tout de même une seconde fois que le nom de l'interface réseau dans les scripts correspond bien au nom de l'interface physique de la machine... Le dhclient patché n'est pas nécessaire avec les règles iptables du script iptables-orange.sh?
sudo cat /proc/net/vlan/enp0s31f6.832
enp0s31f6.832 VID: 832 REORDER_HDR: 1 dev->priv_flags: 1021
total frames received 1048
total bytes received 428998
Broadcast/Multicast Rcvd 3
total frames transmitted 113
total bytes transmitted 15658
Device: enp0s31f6
INGRESS priority mappings: 0:0 1:0 2:0 3:0 4:0 5:0 6:0 7:0
EGRESS priority mappings: 0:6 1:0 2:2 3:3 4:4 5:5 6:6 7:7
et# Generated by iptables-save v1.8.7 on Sun May 1 18:52:12 2022
*mangle
:PREROUTING ACCEPT [0:0]
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -o enp0s31f6.832 -j CLASSIFY --set-class 0000:0001
-A POSTROUTING -o enp0s31f6.832 -p igmp -j CLASSIFY --set-class 0000:0006
-A POSTROUTING -o enp0s31f6.832 -p icmp -j CLASSIFY --set-class 0000:0006
-A POSTROUTING -o enp0s31f6.832 -m dscp --dscp 0x2e -j CLASSIFY --set-class 0000:0005
-A POSTROUTING -o enp0s31f6.832 -p udp -m udp --dport 67 -j CLASSIFY --set-class 0000:0006
COMMIT
# Completed on Sun May 1 18:52:12 2022
Y'a moyen de checker quelquepart la priorité 802.1p en sortie ? (j'ai pas trouvé de champ pertinent dans un tcpdump/wireshark, mais j'ai peut être mal cherché et/ou ça se passe à trop bas niveau pour eux ?)
Avec Wireshark il faut sniffer l'interface physique, à priori enp0s31f6, et pas enp0s31f6.832, afin de voir la priorité 802.1p dans l'entête Ethernet.En effet, et du coup la priorité était bonne.
Merci pour toutes ces précisions.
Du coup, c’est curieux que personne n’ai de config dhcpcd fonctionnelle ipv4 et ipv6 …