Cette nuit, kouakattak a essayé d'intégrer notre schéma dans Pfsense, et y a un truc qu'on a raté
SI on en croit nos recherches, l'option 77 est la "clé" de l'obtention d'une IP sur le 838.
En fait c'est plus compliqué que ça.
Pour obtenir une offre du DHCP il faut :
- Demander sur le VLAN 838
- Etre en priorité 4
- Envoyer le vendor-class-identifier (option 50) avec valeur 'sagem'
- Envoyer le user-class (option 77) avec valeur 'FSVDSL_livebox.MLTV.softathome.Livebox3' ou '\047FSVDSL_livebox.MLTV.softathome.Livebox3'
- Et surtout envoyer le dhcp-client-identifier (option 61)Dans cette option Orange envoie une mac address préfixée du type de connection.
Exemple 1:xx:xx:xx:xx:xx:xx
Lors de nos tests j'avais des le début copier la valeur envoyée par Orange, sans trop regarder a quoi elle ressemble, d'ou elle vient, etc...
Cette mac est contrôlée par orange et doit envoyer une valeur précise, 2 moyens de l'obtenir :
1. Sniffer les paquets wan en branchant la livebox, l'ont et un ordo qui renifle sur un switch (la box tv doit être connectée au LAN)
2. La devinerJe ne sais pas si c'est un hasard mais sur les 2 valeurs qu'on a récoltées (la mienne et celle de kouakattak), on remarque une différence de 4 sur la derniere partie entre la mac de la LB et la mac envoyée dans l'option 61. Késako ?
Mon @mac de livebox termine par AC
L'@mac envoyée pour l'option 61 termine par B0
Chez kouakattak :
Ca termine par 48 dans un cas, 4C de l'autre
Dans les 2 cas : derniere partie de l'@mac option 61 - derniere partie de l'@mac Livebox = 4
Donc vous pouvez essayer de deviner l'@mac en ajoutant 4 a la derniere partie de votre @mac livebox (routeur).
3. Brute forceIl doit être possible de faire un script qui envoie toutes les combinaisons possibles pour la derniere partie (16x16 = 256), le serveur dhcp n'a pas l'air d'avoir de protections / time out pour empêcher cette manip.
--
La mac de l'option 61 n'est PAS la mac du décodeurDe ce constat on peut déduire autre chose :
- J'ai observé a nouveau les requêtes DHCP de la box tv
- L'option 61 n'est pas présente
- On se demandait comment Orange gérait l'envoi de la requête DHCP sur le 77 on sait aujourd'hui que :
1. Elle est lancée par 'trigger' de la box TV
2. Les requêtes DHCP LAN de la box TV et la requête DHCP WAN de la LB sur le 838 sont différentes
Donc il y a bien un système de "trigger" qui va lancer le montage du "réseau video", dépendant de la présence de la box tv et orchestré par la livebox routeur.
On pourrait essayer d'isoler le trigger, en copiant la requête dhcp de la box tv sur la LAN. Je mets une pièce sur l'option 77 ou la 50.
Remplacer la LiveBox par un routeur