Auteur Sujet: Remplacer sa Livebox par un routeur pfSense - NET + TV (Lu 489569 fois)

Hakujou · « **Réponse #1020 le:** 03 février 2018 à 15:49:24 »

Techniquement, ça fonctionne, mais quand on met la prio sur le VLAN, toutes les requêtes ont la priorité 6, ce qui provoque une (très grosse) perte de débit. L'idéal, ayant un MikroTik capable de gérer les priorités et ACL devant le pfSense, de le faire gérer les requêtes DHCP pour leur passer la priorité 6, mais la configuration que j'y ai mise (screen plus haut) ne fonctionne pas...

majax · « **Réponse #1021 le:** 03 février 2018 à 16:12:20 »

J'ai failli le faire avec mon switch netgear et au final je l'ai pas fait. mais mon ont est connecté au switch et le vlan est repris sur le pfsense ..
J'ai deux wan orange/free et mon pfsense n'a qu'un cable rj45 ..
donc peut être que le fait que je ne passe pas par une carte reseau dédié a l'ont a une influence ou non .. je ne sais pas trop

aprés j'avais un débit trés faible au début de ma config et aprés quelque test avec et sans des options pour le dhcp j'ai eu mes 100méga aller/retour

Hakujou · « **Réponse #1022 le:** 03 février 2018 à 16:13:49 »

Du 100/100 ça ressemble beaucoup à un bridage (encore que, ton up est très correct comparé aux gens avec la prio 6 partout habituellement). J'ai une ligne 1000/250, j'aimerais garder ce débit dans la mesure du possible

.
Je vais réessayer de jouer avec les ACLs, voir ce que ça donne.

majax · « **Réponse #1023 le:** 03 février 2018 à 16:41:17 »

oui tu m'etonne aprés j'ai choisi de n'avoir que 100/100 lol pas besoin de plus ..

Bon courage en tout cas

Hakujou · « **Réponse #1024 le:** 03 février 2018 à 18:27:10 »

Ok, j'ai finalement réussi à avoir de l'IPv4 DHCP avec le binaire dhclient natif.

J'ai dû modifier la config du MikroTik (C'est l'ACL en deuxième ligne qui gère la prio). Si je set l'Ethertype à 800 (ou 0800), ça ne fonctionne pas. Pareil si je mets le protocol à 17 (UDP), si je set l'adresse Mac source (pourtant correcte) ou même si je spécifie le VLAN source, ça ne fonctionne pas non plus. Je ne sais pas trop s'il s'agit un bug firmware, mais ça fonctionne comme ça, et ça ne devrait à priori impacter que le DHCP, donc ça convient à peu près.

J'ai aussi dû modifier "rfc3118-auth" en "option-90" sur pfSense 2.4.2.

zoc · « **Réponse #1025 le:** 03 février 2018 à 19:33:46 »

Attention, il est possible que le RENEW DHCP ne soit pas en priorité 6 avec ces ACL: Il n'est pas broadcasté (destination 255.255.255.255), mais envoyé directement au serveur DHCP d'Orange (destination l'IP de ce serveur)...

Hakujou · « **Réponse #1026 le:** 03 février 2018 à 19:48:15 »

Oh, merci, c'est bon à savoir. J'ai mis ":67" à la place de "255.255.255.255:67", ça devrait le faire !

Tebillpo · « **Réponse #1027 le:** 04 février 2018 à 01:14:31 »

Bonjour à tous,

Merci Hakujou d'avoir lu mon guide

, plutôt sommaire mais surtout là pour rassembler un peu les éléments du thread

Étrange pour Eckeagle ce bridage surtout sur la partie download. La priorité intervient surtout sur l'upload mais il peu y avoir un problème sur les TCP ACK par exemple dans ce cas là.

Une idée peut être

, je sais que j'ai dû supprimer le fichier dhclient avant de pouvoir charger son remplaçant sous WinSCP. Le patch doit toujours être appliqué avant la sortie de la version 2.4.3 de pfsense. Le bug a été remonté ici pour info https://redmine.pfsense.org/issues/7425 et expliqué là pour le détail https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-pfsense/msg331413/#msg331413.
Il faut faire attention à la version de pfsense également (uniquement x64 si je me souviens bien)

Sinon j'ai moi même une question. Souhaitant déployer un VPN IPSEC en IPv6, sur quelle interface peut on l'assigner sachant que le prefix delegation attribue les adresses routables sur le LAN uniquement et que le WAN est configuré en DHCPv6 pour la connexion sans disposer d'une IPv6 routable (autre que fe80...).
Pour info, j'ai pu configurer avec succès une DMZ avec IPv6 statique comprise dans le pool /56 fournit par Orange. Je ne sais pas si c'est la piste à privilégier ? Une idée $:-\$

Hakujou · « **Réponse #1028 le:** 04 février 2018 à 01:22:09 »

Merci à toi pour l'avoir rédigé, surtout

Je n'ai justement pas compris le rapport entre le bug rapporté et la nécessité de remplacer le dhclient. Pour moi l'option 77 c'est le User-class, non ? En 2.4.2 avec le binaire natif l'option semble être envoyée, puisque j'arrive à avoir une IP (dès l'instant où les priorités sont définies par le switch en amont). J'ai plus l'impression que le problème du binaire dhclient natif est de ne pas supporter les options de priorité, non ?

Pour l'IPv6, je serais incapable de t'aider, je n'arrive moi-même pas à le configurer... (D'ailleurs si tu peux me partager ta configuration complète, je suis preneur

)
En revanche, de ce que j'ai compris, il y a moyen de prendre le préfixe "/56" d'Orange et de le séparer en "/64" par réseau, non ? C'est du moins ce que j'ai lu quelque part... Auquel cas tu pourrais sans doute affecter une IPv6 à l'interface WAN et monter ton tunnel.

Tebillpo · « **Réponse #1029 le:** 04 février 2018 à 01:49:51 »

En fait c'est ce qu'explique nwks, la gestion du pcp pour passer la priorité à 6 sur les requêtes DHCP et éviter de changer la priorité sur tout le VLAN 832 ce qui entraîne une perte de débit donc oui il faut toujours le faire pour l'instant

.

Autrement pour l'option 77, je n'ai pas cherché à savoir si cela avait été corrigé vu que le suivi de bug n'est toujours pas clos ni commenté

Enfin pour IPv6 oui on peut utiliser les 256 subnet /64 mais seul le LAN dispose du prefix delegation (comprendre autoconfiguration en fonction du suffixe fournit par l'opérateur). Pour les autres interfaces, c'est config statique avec le risque de perdre la connexion si le suffixe est modifié. Xor le détaillait d'ailleur sur son blog https://x0r.fr/blog/58 et le procédé est détaillé pour une connexion chez OVH ici https://osnet.eu/fr/content/tutoriels/pfsense-en-ipv6-sur-un-lien-dsl-ovh

Le problème dans tout cela c'est que sur le WAN, IPv6 est configuré en DHCPv6 pour obtenir les infos de la part d'Orange mais aucune adresse n'est affectée sur cette interface. kgersen le détail ici https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-pfsense/msg470580/#msg470580

Pour la config, j'ai ajouté beaucoup de choses

notamment des certificats let's encrypt et un tunnel ikev2. Il faudrait que je nettoie mon fichier xml pour cela. $:-\$

zoc · « **Réponse #1030 le:** 04 février 2018 à 08:14:59 »

Citation de: Tebillpo le 04 février 2018 à 01:49:51

Le problème dans tout cela c'est que sur le WAN, IPv6 est configuré en DHCPv6 pour obtenir les infos de la part d'Orange mais aucune adresse n'est affectée sur cette interface

Non, ce n'est pas du DHCP6, c'est du SLAAC.

Ceci dit, en IPv6, bien que les IP soient affectées aux interfaces, en pratique elles sont affectées à la machine. Ca explique pourquoi il est possible de pinguer une adresse IPv6 depuis le routeur même si son interface WAN ne dispose pas d'adresse de scope Global.

Du coup il doit être possible de monter un VPN IPSEC en IPv6 sur Internet dont le endpoint local est l'adresse "attribuée" à l'interface LAN du routeur.

Hakujou · « **Réponse #1031 le:** 04 février 2018 à 11:02:56 »

Tellbipo, ce que je disais, c'est que du coup le ticket n'a pas grand chose à voir avec le problème de priorités. Le ticket semble avoir été résolu puisque l'option 77 est bien envoyée avec le binaire natif. Quant à savoir quand est-ce qu'on pourra préciser une priorité et un VLAN sur dhclient sans patch, je n'en ai aucune idée... (ni même si c'est prévu).

Mon problème pour IPv6, c'est qu'apparemment, si je spécifie "ia-pd 0" dans ma conf IPv6 côté WAN, ça fail au niveau du parsing :
"/var/etc/dhcp6c_wan.conf:2 IA_PD (0) is not defined
failed to parse configuration file"

Je pense que c'est pour ça que je n'arrive pas à avoir de préfixe, mais je n'ai aucune idée de pourquoi j'ai cette erreur (mon dhcp6c est bien remplacé).