Auteur Sujet: Remplacer sa Livebox par un routeur pfSense - NET + TV  (Lu 480617 fois)

0 Membres et 1 Invité sur ce sujet

nwks

  • Abonné Orange Fibre
  • *
  • Messages: 66
Remplacer sa Livebox par un routeur pfSense - NET + TV
« Réponse #816 le: 25 juillet 2017 à 19:43:40 »
Le préfixe n'est pas réglé, alors comment puis-je l'approvisionner ici?

Tu n'es effectivement pas obligé de mettre la ligne "prefix" : tu peux mettre le préfixe qu'a obtenu ta livebox ou laisser le statement vide.
Car au final je ne sais pas si le serveur DHCP6 en tient compte, je n'ai pas essayé d'envoyer autre chose que le préfixe que j'avais déjà ;D


nivek1612

  • Abonné Orange Fibre
  • *
  • Messages: 344
  • Nice 06
Remplacer sa Livebox par un routeur pfSense - NET + TV
« Réponse #817 le: 25 juillet 2017 à 23:35:29 »
Ok

Comment faire face à un changement de préfixe?
Cela m'est arrivé une fois

nwks

  • Abonné Orange Fibre
  • *
  • Messages: 66
Remplacer sa Livebox par un routeur pfSense - NET + TV
« Réponse #818 le: 27 juillet 2017 à 07:19:21 »
Je ne sais pas vraiment la meilleure manière de configurer pfSense pour ça.

Je pense qu'il faut utiliser le "Prefix interface statement" de la configuration de dhcp6c pour attribuer une IPv6 à l'interface LAN lorsque le WAN reçoit la réponse DHCP.
Puis configurer le serveur DHCPv6 de pfSense et les RA sur le LAN en "statefull" pour distribuer des IPv6, et utiliser le hostname des clients dans les règles du firewall...
;D

nivek1612

  • Abonné Orange Fibre
  • *
  • Messages: 344
  • Nice 06
Remplacer sa Livebox par un routeur pfSense - NET + TV
« Réponse #819 le: 27 juillet 2017 à 08:25:12 »
Cela semble fonctionner (à partir de la trace de wireshark)
Je ne suis pas de retour en France jusqu'à la fin d'août, donc je ne peux pas tester complètement

Nous avons également déplacé les modifications vers 2.4 afin que les "raw-options" puissent maintenant être envoyées à partir des options avancées dans l'interface graphique plutôt qu'un fichier .conf

interface igb0_vlan832 {
# DUID
duid 00:03:00:01:*MAC*;
# User class "+FSVDSL_livebox.Internet.softathome.Livebox3";
send raw-option 15 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33;
# Vendor class "sagem"
send raw-option 16 00:00:04:0e:00:05:73:61:67:65:6d;
# Authentication
send raw-option 11 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;
# IA-PD
send ia-pd 0;
# Requests : authentication, domain-name, domain-name-servers;
send raw-option 6 00:0b:00:11:00:17:00:18;
script "/var/etc/dhcp6c_wan_script.sh";
};
id-assoc pd 0 {
   prefix-interface igb1 {
      sla-id 0;
      sla-len 8;
   };
};

nwks

  • Abonné Orange Fibre
  • *
  • Messages: 66
Remplacer sa Livebox par un routeur pfSense - NET + TV
« Réponse #820 le: 27 juillet 2017 à 18:52:39 »
Nous avons également déplacé les modifications vers 2.4 afin que les "raw-options" puissent maintenant être envoyées à partir des options avancées dans l'interface graphique plutôt qu'un fichier .conf
Attention car si on utilise les options avancées plutôt qu'un override il n'est pas possible d'envoyer l'option "request" en raw (car pfSense génère sa propre option et il y a conflit).
Mais je ne sais pas si le fait de faire une requête pour l'option "authentication" a un effet sur la réponse du serveur.

nivek1612

  • Abonné Orange Fibre
  • *
  • Messages: 344
  • Nice 06
Remplacer sa Livebox par un routeur pfSense - NET + TV
« Réponse #821 le: 27 juillet 2017 à 20:39:28 »
Chez pfSense 2.4 semble être bien

nivek1612

  • Abonné Orange Fibre
  • *
  • Messages: 344
  • Nice 06
Remplacer sa Livebox par un routeur pfSense - NET + TV
« Réponse #822 le: 28 juillet 2017 à 10:54:10 »

Pour passer la priorité à 6 dans pfSense il faut altérer la règle générée automatiquement, patch :
--- a/etc/inc/filter.inc
+++ b/etc/inc/filter.inc
@@ -3275,8 +3275,8 @@
  // The DHCPv6 client rules ***MUST BE ABOVE BOGONSV6!***  https://redmine.pfsense.org/issues/3395
  $ipfrules .= <<<EOD
 # allow our DHCPv6 client out to the {$oc['descr']}
 pass in {$log['pass']} quick on \${$oc['descr']} proto udp from fe80::/10 port = 546 to fe80::/10 port = 546 tracker {$increment_tracker($tracker)} label "{$fix_rule_label("allow dhcpv6 client in {$oc['descr']}")}"
 pass in {$log['pass']} quick on \${$oc['descr']} proto udp from any port = 547 to any port = 546 tracker {$increment_tracker($tracker)} label "{$fix_rule_label("allow dhcpv6 client in {$oc['descr']}")}"
-pass out {$log['pass']} quick on \${$oc['descr']} proto udp from any port = 546 to any port = 547 tracker {$increment_tracker($tracker)} label "{$fix_rule_label("allow dhcpv6 client out {$oc['descr']}")}"
+pass out {$log['pass']} quick on \${$oc['descr']} proto udp from any port = 546 to any port = 547 tracker {$increment_tracker($tracker)} label "{$fix_rule_label("allow dhcpv6 client out {$oc['descr']}")}" ieee8021q-setpcp ic
 
 EOD;



Pouvez-vous confirmer que la syntaxe est correcte.

J'ai appliqué le patch mais j'ai des erreurs de syntaxe dans les règles

nwks

  • Abonné Orange Fibre
  • *
  • Messages: 66
Remplacer sa Livebox par un routeur pfSense - NET + TV
« Réponse #823 le: 31 juillet 2017 à 22:43:12 »
Je confirme que c'est le patch qui est actuellement appliqué sur mon pfSense via le package "System patches" sans problème.
Essayes peut-être de modifier manuellement le fichier ?

nivek1612

  • Abonné Orange Fibre
  • *
  • Messages: 344
  • Nice 06
Remplacer sa Livebox par un routeur pfSense - NET + TV
« Réponse #824 le: 31 juillet 2017 à 23:13:34 »
Oui system patches

Je reçois cette erreur

There were error(s) loading the rules: /tmp/rules.debug:114: syntax error - The line in question reads [114]: pass out quick on $WAN proto udp from any port = 546 to any port = 547 tracker 1000000563 label &quot;allow dhcpv6 client out WAN&quot; ieee8021q-setpcp ic

nivek1612

  • Abonné Orange Fibre
  • *
  • Messages: 344
  • Nice 06
Remplacer sa Livebox par un routeur pfSense - NET + TV
« Réponse #825 le: 31 juillet 2017 à 23:59:27 »
Je pense que cela peut être un bogue pfSense 2.4 (FreeBSD 11)
Comme la priorité du VLAN ne va pas être définie si elle est appliquée dans l'interface graphique

nivek1612

  • Abonné Orange Fibre
  • *
  • Messages: 344
  • Nice 06
Remplacer sa Livebox par un routeur pfSense - NET + TV
« Réponse #826 le: 01 août 2017 à 12:22:25 »
Syntax pfSense 2.4 avex FreeBSD 11
 
--- a/etc/inc/filter.inc
+++ b/etc/inc/filter.inc
@@ -3275,8 +3275,8 @@
  // The DHCPv6 client rules ***MUST BE ABOVE BOGONSV6!***  https://redmine.pfsense.org/issues/3395
  $ipfrules .= <<<EOD
 # allow our DHCPv6 client out to the {$oc['descr']}
 pass in {$log['pass']} quick on \${$oc['descr']} proto udp from fe80::/10 port = 546 to fe80::/10 port = 546 tracker {$increment_tracker($tracker)} label "{$fix_rule_label("allow dhcpv6 client in {$oc['descr']}")}"
 pass in {$log['pass']} quick on \${$oc['descr']} proto udp from any port = 547 to any port = 546 tracker {$increment_tracker($tracker)} label "{$fix_rule_label("allow dhcpv6 client in {$oc['descr']}")}"
-pass out {$log['pass']} quick on \${$oc['descr']} proto udp from any port = 546 to any port = 547 tracker {$increment_tracker($tracker)} label "{$fix_rule_label("allow dhcpv6 client out {$oc['descr']}")}"
+pass out {$log['pass']} quick on \${$oc['descr']} proto udp from any port = 546 to any port = 547 tracker {$increment_tracker($tracker)} label "{$fix_rule_label("allow dhcpv6 client out {$oc['descr']}")}" set prio 6

EOD;

Il y a toujours un bug qui signifie que cela ne fonctionne pas. Je l'ai passé aux Devs

nivek1612

  • Abonné Orange Fibre
  • *
  • Messages: 344
  • Nice 06