Auteur Sujet: Remplacer sa Livebox par un routeur pfSense - NET + TV (Lu 485756 fois)

stefauresi · « **Réponse #660 le:** 17 mai 2016 à 20:46:38 »

la regle il faut l'appliquer aux VLAN 838 & 840 aussi

Ninored · « **Réponse #661 le:** 17 mai 2016 à 21:08:12 »

Citation de: stefauresi le 17 mai 2016 à 20:46:38

la regle il faut l'appliquer aux VLAN 838 & 840 aussi

Justement j'ai cette règle sur mes interfaces TV 838 et 840 :

Je remarque cependant que j'ai des stats de créer ( donc c'est possible que ce soit just un bug ).....
J'ai utilisé Wireshark pour voir un peu les communications de ma box tv avec l'extérieur. Apparemment la box arrive a communiquer. J'ai remarqué une connection TCP avec SSL, et des requêtes DNS.
Mais bon niveau box tv je reste bloqué sur l'identification. J'ai beau mettre les bon id rien n'y fait il reste sur sa boite de dialogue... Demain je pense appeler orange pour voir si c'est pas un pb de chez eux.

(C'est une petite avancée car avant j'avais accès a ma box tv mais j'avais pas les chaines)

Si c'est pas orange le pb est ce que cela peux venir de l'userclass. Car de base mon userclass est : "PC_MLTV_IHD92" Sauf que je peux pas le mettre .... L'option est très mal prise en compte, il y a toujours un pb de longueur de chaine et cela rend le paquet corrompu.

Au passage je suis sur pfSense 3.2 32-bit. Mon igmpproxy vient de pfsense 2.2.6 j'ai moi meme compilé le cliendhcp pour l'option userclass.

stefauresi · « **Réponse #662 le:** 17 mai 2016 à 22:14:34 »

moi je suis sur pfSense 2.3 64b , j'ai seulement remplacé le dhcpclient et utilisé 2 fichiers de config override (un pour le DHCP de connexion et un pour le DHCP du Lan TV)
j'ai 3 interface réseau
1 = ONT
2 = LAN
3 = LANTV
tu as bien mis les prio des VLAN 838 & 840 ?

Harry_McKenzy · « **Réponse #663 le:** 18 mai 2016 à 13:31:11 »

@Ninored :

Dans les options de ton WAN (interfaces -> wan), est-ce que les options de blocage de range sont activées (les 2 dernières cases à cocher tout en bas) ? De mémoire, il propose de bloquer les ranges d'adresses privées et les ranges d'adresses "bidons". Cette dernière bloque les adresses 224.0....

stefauresi · « **Réponse #664 le:** 18 mai 2016 à 13:49:38 »

Citation de: Harry_McKenzy le 18 mai 2016 à 13:31:11

@Ninored :

Dans les options de ton WAN (interfaces -> wan), est-ce que les options de blocage de range sont activées (les 2 dernières cases à cocher tout en bas) ? De mémoire, il propose de bloquer les ranges d'adresses privées et les ranges d'adresses "bidons". Cette dernière bloque les adresses 224.0....

pour ma part sur l'interface Wan ces 2 options sont activées et tout fonctionne

Maintenant il ne faut pas qu'elles soient activées sur les vlan 838 - 840

Ninored · « **Réponse #665 le:** 18 mai 2016 à 17:32:38 »

Citation de: stefauresi le 18 mai 2016 à 13:49:38

pour ma part sur l'interface Wan ces 2 options sont activées et tout fonctionne
Maintenant il ne faut pas qu'elles soient activées sur les vlan 838 - 840

Salut,

Alors j'ai essayé plusieurs choses mais bon toujours rien.
Peux tu nous poster un peu ta config pour avoir la TV je veux dire par la:
Interface, VLAN, Firewall, DHCP.

Je vais essayer de la comparer a ma config et trouver ce qui cloche.

stefauresi · « **Réponse #666 le:** 18 mai 2016 à 18:34:43 »

Bonjour,

Alors voici

script DHCP WAN

Code: [Sélectionner]

interface "em1_vlan832" {

send-interface "em1";
vlan-id 832;
vlan-pcp 6;

# DHCP Protocol Timing Values
timeout 60;
retry 15;
reboot 0;
select-timeout 0;
initial-interval 1;

# DHCP Protocol Options
send dhcp-class-identifier "sagem";
send user-class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx;
request subnet-mask, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, routers, domain-name-servers, rfc3118-auth;

script "/sbin/dhclient-script";
}

DHCP VLAN838 (mac adresse LB +3)

Code: [Sélectionner]

interface "VLAN838" {

# DHCP Protocol Timing Values
timeout 60;
retry 15;
reboot 0;
select-timeout 0;
initial-interval 1;

# DHCP Protocol Options
send dhcp-class-identifier "sagem";
send dhcp-client-identifier 1:18:xx:xx:xx:xx:xx;
send user-class "\047FSVDSL_livebox.MLTV.softathome.Livebox3";
request subnet-mask, routers, ntp-servers, www-server;

script "/sbin/dhclient-script";
}

Pour les règles de firewall attention a bien cocher ALLOW IP OPTIONS

j'ai seulement mis la VLAN838 , mais identique pour 840 & TV

J'ai remis le client DHCP a remplacer (ATTENTION pfSense 2.3 64Bits)

nwks · « **Réponse #667 le:** 19 mai 2016 à 18:47:51 »

Citation de: stefauresi le 15 mai 2016 à 21:51:30

question bête , mais avec pfSense pas de DHCPv6 ?

Pour avoir l'IPv6 d'Orange avec pfSense il suffit de modifier dhcp6 dans le même style que dhclient (envoi du user_class + pcp).
Personnellement je ne me suis pas encore penché dessus (car j'ai déjà un tunnel avec un préfix fixe, lui).

zoc · « **Réponse #668 le:** 19 mai 2016 à 21:19:00 »

Citation de: nwks le 19 mai 2016 à 18:47:51

j'ai déjà un tunnel avec un préfix fixe, lui.

Pour info, avec mon ERL j'ai le même préfixe depuis 56 jours, soit le jour où j'ai mis en place l'IPv6. Concretement, mon préfixe n'a pas changé une seule fois...

nwks · « **Réponse #669 le:** 19 mai 2016 à 22:10:33 »

Citation de: zoc le 19 mai 2016 à 21:19:00

Concretement, mon préfixe n'a pas changé une seule fois...

Il y a quand même une différence entre un préfix assigné, et un préfix "au hasard" fixe par chance

Au premier abord, sans NAT, je ne vois pas comment configurer le firewall pour fonctionner avec un préfix dynamique.

Mais c'est surement parce que je n'ai aucune expérience avec ça, donc si tu as des conseils...

zoc · « **Réponse #670 le:** 20 mai 2016 à 06:51:12 »

Edit: Oups, je viens de voir que j'étais sur le fil pfSense... désolé pour le hors sujet...

Citation de: nwks le 19 mai 2016 à 22:10:33

Mais c'est surement parce que je n'ai aucune expérience avec ça, donc si tu as des conseils...

Moi je le fais avec les "networks groups" sur l'ERL. Ca utilise les ipsets du noyau linux et donc tu peux avoir des règles iptables dont le comportement change dynamiquement en fonction du contenu de ces groupes. Ce genre de fonction existe nativement pour IPv4 (il existe des groupes prédéfinis contenant les adresses/réseaux pour chaque interface du routeur), mais pas pour IPv6 (j'ai fait une demande d'ajout sur le forum beta d'ubnt), donc en attendant j'ai rusé un peu en créant des groupes vides et en les alimentant directement dans le script appelé par dibbler-client à l'obtention/renouvellement du préfix. Exemple:

Extrait de config de l'ERL:

Code: [Sélectionner]

firewall {
    group {
        ipv6-network-group MGNT_NET6 {
        }
    }
    ipv6-name LAN6_LOCAL {
        default-action accept
        description "LAN6 to Router"
        rule 2 {
            action reject
            description "Deny connecting to MGNT IP"
            destination {
                group {
                    ipv6-network-group MGNT_NET6
                }
            }
            log disable
            protocol all
        }
    }
}

Le contenu du groupe MGNT_NET6 est défini dynamiquement par mon script /etc/dibbler/radvd.sh (extrait):

Code: [Sélectionner]

#!/bin/bash

env > /tmp/dibbler.log 2>&1

if [ "$SRV_MESSAGE" != "REPLY" ]
then
	exit 1
fi

ETH0_69_SUFFIX="69::1"

STATUS_FILE=/run/dibbler.lease

if [ -f "$STATUS_FILE" ];
then
	source $STATUS_FILE
fi

TRIM_SIZE=${#PREFIX1}
TRIM_SIZE=$((TRIM_SIZE - 4))
PREFIX1=${PREFIX1:0:TRIM_SIZE}

if [ "$PREFIX1" != "$CURRENT_PREFIX1" ]
then
	if [ "$CURRENT_PREFIX1" != "" ]
	then
		ip addr delete "$CURRENT_PREFIX1$ETH0_69_SUFFIX/64" dev eth0.69
		
		/sbin/ipset del MGNT_NET6 "$CURRENT_PREFIX1$ETH0_69_SUFFIX/64"
	fi

	echo "CURRENT_PREFIX1=$PREFIX1" > $STATUS_FILE

	ip addr add "$PREFIX1$ETH0_69_SUFFIX/64" dev eth0.69

	/sbin/ipset add MGNT_NET6 "$PREFIX1$ETH0_69_SUFFIX/64"
			
	service radvd restart >/dev/null 2>&1
fi

nwks · « **Réponse #671 le:** 24 mai 2016 à 21:34:43 »

Du coup ça reste quand même pas mal du bricolage, ce qui ne me plait pas trop.

J'ai jeté un oeil au code du client DHCP IPv6 de pfSense, WIDE-DHCPv6, et c'est vraiment pas folichon...
Il a l'air codé de telle façon que ça ne semble pas facile d'ajouter les options manquantes.
Et en plus le projet semble mort (dernière modif de 2008)

Le plus simple serait certainement de passer sur isc-dhcp-client.