Ca marche avec OpenBSD sur un ERL (reflashé avec cette méthode:
http://ftp.openbsd.org/pub/OpenBSD/5.8/octeon/INSTALL.octeon )
du moins en IPv4 avec la conf de Nerzhul. Mais je n'obtient que
144 Mbps au mieux en download.
Si il y a un spécialiste d'OpenBSD ayant des astuces pour optimiser je suis preneur.
la conf est similaire au premier message pour pf.conf (firewall).
pour le reste:
Configurations à faire en ligne de commande:
déclaration des interfaces:
echo inet 192.168.1.1 255.255.255.0 >/etc/hostname.cnmac0
echo up >/etc/hostname.cnmac1
echo inet 192.168.2.3 255.255.255.0 >/etc/hostname.cnmac2
echo dhcp vlan 832 vlandev cnmac1 >/etc/hostname.vlan832
cnmac0 =eth0 de l'erl = lan
cnmac1 = eth1 de l'erl
cnmac2 =eth2, je m'en sert pour faire des captures en live via wireshark tournant sur une machine branchée sur ce port.
vlan832= interface WAN , vlan 832 sur cnmac1 = eth1
activation du routage:
echo 'net.inet.ip.forwarding=1' >> /etc/sysctl.conf
configuration du dhcp client, à mettre dans /etc/dhclient.conf:
interface "vlan832" {
send dhcp-client-identifier 01:00:37:b7:xx:xx:xx; # @MAC de la livebox
send dhcp-class-identifier "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send option-90 00:00:00:00:00:00:00:00:00:00:00:66:74:69:.....; # fti/... en hexa
request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, option-119, option-90, option-120;
}
activation du serveur DHCP pour le LAN
rcctl enable dhcpd
rcctl set dhcpd flags cnmac0
puis configuration du serveur DHCP à mettre dans /etc/dhcpd.conf:
option domain-name-servers 192.168.1.1;
subnet 192.168.1.0 netmask 255.255.255.0 {
option routers 192.168.1.1;
range 192.168.1.100 192.168.1.200;
}
activation serveur DNS:
rcctl enable unbound
configuration serveur DNS à mettre : /var/unbound/etc/unbound.conf
# $OpenBSD: unbound.conf,v 1.5 2015/07/19 17:29:42 sthen Exp $
server:
interface: 127.0.0.1
interface: 192.168.1.1
interface: 192.168.2.1
interface: ::1
#do-ip6: no
access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/8 allow
access-control: 192.168.1.0/24 allow
access-control: 192.168.2.0/24 allow
access-control: ::0/0 refuse
access-control: ::1 allow
hide-identity: yes
hide-version: yes
remote-control:
control-enable: yes
control-use-cert: no
control-interface: /var/run/unbound.sock
forward-zone:
name: "." # use for ALL queries
forward-addr: 8.8.8.8 # google.com
(je forward tout sur Google 8.8.8.8 , on peut mettre Orange ou un autre de son choix).
Firewall activation:
il est actif par defaut. pour le couper:
pfctl -d
pour le remettre:
pfctl -e
pour actualiser dynamiquement si vous changer /etc/pf.conf:
pfctl -f /etc/pf.conf
config /etc/pf.conf:
# $OpenBSD: pf.conf,v 1.54 2014/08/23 05:49:42 deraadt Exp $
#
# See pf.conf(5) and /etc/examples/pf.conf
int_if="{ vlan832 cnmac0 }"
wan_iface="vlan832"
table <lan_v4> { 192.168.1.0/24 }
#set block-policy drop
set loginterface egress
set skip on lo0
# Tag every TCP packets on wan interface with vlan priority 0 (1 in PF because of 802.1p), in IPv4 & IPv6
match out on $wan_iface proto { tcp udp } set prio 1
#match out on egress inet from !(egress:network) to any nat-to (egress:0)
pass out quick on $wan_iface inet from <lan_v4> nat-to ($wan_iface) keep state
block all
pass out quick inet
pass in on $int_if inet
# nat clients to wan interface in IPv6
#pass out quick on $wan_iface inet6 from <lan_v6> keep state
j'ai sans doute oublié des trucs mais si vous en arrivez la vous trouverez surement de vous meme :p
ressources a consulter si besoin d'info sur OpenBSD:
http://www.openbsd.org/faq/faq6.htmlhttp://www.openbsd.org/faq/pf/example1.htmlannexe:
pour capturer les paquets sur le vlan832 en live et les envoyer via eth2 sur un wireshark tournant dans un PC (Windows) branché sur eth2. il suffit de saisir ceci sur le PC:
plink.exe -ssh -pw mdp root@192.168.2.3 "tcpdump -ni vlan832 -s 2000 -w -" | "c:\Program Files\Wireshark\Wireshark.exe" -k -i -
mdp = mot de passe root de l'ERL (configuré lors de l'installation d'openBSD).
(plink.exe & putty.exe a prendre ici:
http://www.chiark.greenend.org.uk/~sgtatham/putty/download.html)
pour Mac/Linux c'est plus simple et vous connaissez déjà surement.
nb: ce type de capture ne permet pas de voir les tag vlan donc la prio 802.1x. pour capturer bas niveau il faut un switch avec port monitoring par exemple.