Auteur Sujet: Remplacer sa Livebox par un routeur Ubiquiti Edgemax (configuration IPv6) (Lu 32369 fois)

keshav26 · « **le:** 16 mars 2017 à 21:13:44 »

Bonjour,

J'essaye de mettre en place IPv6 sur mon ERL je suis un peu coincer... J'ai pas mal chercher mais là je suis vraiment à court d'idée... Est ce que quelqu'un pourras m'aider?

J'ai installé le client dibbler de zoc, dans /etc/dibbler/client.conf j'ai les paramètres suivant

Code: [Sélectionner]

# Defaults for dibbler-client.
# installed at /etc/dibbler/client.conf by the maintainer scripts

# 8 (Debug) is most verbose. 7 (Info) is usually the best option
log-level 7

duid-type duid-ll
# To perform stateless (i.e. options only) configuration, uncomment
# this line below and remove any "ia" keywords from interface definitions
# stateless

downlink-prefix-ifaces "none"
script "/etc/dibbler/radvd.sh"

iface eth1.832 {
    option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
    option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:33
    option 11 hex 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
    option 11 hex 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx
    option dns-server
}

et dans radvd.sh ça

Code: [Sélectionner]

#!/bin/bash

env > /tmp/dibbler.log 2>&1

if [ "$SRV_MESSAGE" != "REPLY" ]
then
    exit 1
fi

ETH0_SUFFIX="01::1"

STATUS_FILE=/run/dibbler.lease

if [ -f "$STATUS_FILE" ]
then
    source $STATUS_FILE
fi

TRIM_SIZE=${#PREFIX1}
TRIM_SIZE=$((TRIM_SIZE - 4))
PREFIX1=${PREFIX1:0:TRIM_SIZE}

if [ "$PREFIX1" != "$CURRENT_PREFIX1" ]
then
    if [ "$CURRENT_PREFIX1" != "" ]
    then
        ip addr delete "$CURRENT_PREFIX1$ETH0_SUFFIX/64" dev eth0
    fi

    echo "CURRENT_PREFIX1=$PREFIX1" > $STATUS_FILE

    ip addr add "$PREFIX1$ETH0_SUFFIX/64" dev eth0
    service radvd restart >/dev/null 2>&1
fi

et voici mon config.boot

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WANv6 inbound traffic forwarded to LAN"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow ICMPv6"
            log disable
            protocol icmpv6
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WANv6 inbound traffic to the router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow ICMPv6"
            log disable
            protocol icmpv6
        }
        rule 40 {
            action accept
            description "Allow DHCPv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-name WANv6_OUT {
        default-action accept
        description "WANv6 outbound traffic"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action reject
            description "Reject invalid state"
            state {
                invalid enable
            }
        }
    }
	ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name LAN_IN {
        default-action accept
        description "LAN to Internal"
        rule 10 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
	name WAN_IN {
        default-action drop
        description "WAN to LAN"
        enable-default-log
        rule 1 {
            action accept
            description "allow established sessions"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
		rule 3 {
		    action accept
            description "Allow ICMP"
            log disable
            protocol icmp
            state {
                established enable
               related enable 
		}
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 1 {
            action accept
            description "allow established session to the router"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 2 {
            action drop
            description "drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
        rule 3 {
            action accept
            description WEB_ERL
            destination {
                port 8443
            }
            log disable
            protocol tcp_udp
        }
        rule 4 {
            action accept
            description SSH_ERL
            destination {
                port 2222
            }
            log disable
            protocol tcp_udp
        }
    }
	name WAN_OUT {
        default-action accept
        description "Internal to WAN"
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action reject
            description "Reject invalid state"
            state {
                invalid enable
            }
        }
}
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address 192.168.xx.254/24
        description "LAN - Switch TP-Link"
        duplex auto
        speed auto
    }
    ethernet eth1 {
        description "Arrivee Fibre WAN"
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description "VLAN Internet Orange"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;" ( MAC Modem Livebox)
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox4&quot;;"
                client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;" ( identifiant HEX)
                client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
                default-route update
                default-route-distance 210
                name-server update
            }
            egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
            firewall {
                in {
                    ipv6-name WANv6_IN
					name WAN_IN
                }
                local {
				    ipv6-name WANv6_LOCAL
					name WAN_LOCAL
                }
                out {
				    ipv6-name WANv6_OUT
					name WAN_OUT
                }
            }
        }
        vif 838 {
            address dhcp
            description "VLAN TV Replay VOD"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send dhcp-client-identifier 1:xx:xx:xx:xx:xx:xx;" ( MAC Decodeur TV)
                client-option "send user-class &quot;\047FSVDSL_livebox.MLTV.softathome.Livebox3&quot;;"
                client-option "request subnet-mask, rfc3442-classless-static-routes;"
                default-route update
                default-route-distance 210
                name-server update
            }
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            address 192.168.255.254/24
            description "VLAN TV Multicast"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {
        address 192.168.xx.254/24
        description "Decodeur Livebox"
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
port-forward {
    auto-firewall enable
    hairpin-nat enable
    lan-interface eth0
    rule 1 {
        description "QNAP SSH"
        forward-to {
            address 192.168.77.18
            port 22
        }
        original-port 22
        protocol tcp_udp
    }
    wan-interface eth1.832
}
protocols {
    igmp-proxy {
        disable-quickleave
        interface et1.838 {
            role disabled
            threshold 1
        }
        interface eth0 {
            role disabled
            threshold 1
        }
        interface eth1.832 {
            role disabled
            threshold 1
        }
        interface eth1.840 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth2 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
}
service {
    dhcp-server {
        disabled false
        global-parameters "option rfc3118-auth code 90 = string;"
        hostfile-update disable
        shared-network-name LAN {
            authoritative enable
            subnet 192.168.xx.0/24 {
                default-router 192.168.xx.254
                dns-server 192.168.xx.254
                lease 86400
                start 192.168.xx.10 {
                    stop 192.168.xx.200
                }
                static-mapping Livebox {
                    ip-address 192.168.xx.1
                    mac-address xx:xx:xx:xx:xx:xx ( MAC Decodeur Livebox)
                }
            }
        }
        shared-network-name TV {
            authoritative enable
            subnet 192.168.xx.0/24 {
                default-router 192.168.xx.254
                dns-server 80.10.246.3
                dns-server 81.253.149.10
                lease 86400
                start 192.168.xx.10 {
                    stop 192.168.88.10
                }
            }
        }
        use-dnsmasq disable
    }
    dns {
        dynamic {
            interface eth1.832 {
                service custom-noip {
                    host-name xx-yy.ddns.net
                    login xxxxxxxxxxx@gmail.com
                    password xxxxxx
                    protocol noip
                }
                web dyndns
            }
        }
        forwarding {
            cache-size 1000
            listen-on eth0
            listen-on eth2
        }
    }
    gui {
        http-port 80
        https-port 8443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            description "Masquerading outgoing connections"
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
        rule 5011 {
            description "Masquerading TV"
            log disable
            outbound-interface eth1.838
            protocol all
            type masquerade
        }
    }
    ssh {
        port 2222
        protocol-version v2
    }
    upnp2 {
        listen-on eth0
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan eth1.832
    }
}
system {
    config-management {
        commit-revisions 5
    }
    conntrack {
        expect-table-size 4096
        hash-size 4096
        table-size 32768
        tcp {
            half-open-connections 512
            loose disable
            max-retrans 3
        }
    }
    host-name xxxxx
    login {
        user admin {
            authentication {
                encrypted-password xxxxxxxxxxxxxyyyyyyyyyyyyyyzzzzzzzzz
                plaintext-password ""
            }
            full-name xxxxx
            level admin
        }
        user keshav {
            authentication {
                encrypted-password xxxxxxxxxxxxxxxxxxxxyyyyyyyyyyyyyyzzzzzzzzz
                plaintext-password ""
            }
            full-name Admin
            level admin
        }
    }
    name-server 80.10.246.3
    name-server 81.253.149.10
    name-server 8.8.4.4
    name-server 8.8.8.8
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            pppoe enable
            vlan enable
        }
        ipv6 {
            forwarding enable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level warning
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export enable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version:"config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.4939093.161214.0705 */

Peut etre que j'ai oublié quelques chose pouvez-vous m'aider? Ma configuration est le suivant

ETH0 >>>>>>>> Switch TP-LINK
ETH1 >>>>>>>> ONT
ETH2 >>>>>>>> Decodeur TV

zoc · « **Réponse #1 le:** 16 mars 2017 à 21:28:56 »

il va manquer dans eth1 vif832:

Code: [Sélectionner]

            ipv6 {
                address {
                    autoconf
                }
                dup-addr-detect-transmits 1
            }

Pour que l'ERL accepte l'annonce de la route IPv6 par défaut envoyée par le routeur d'Orange.

et dans la configuration d'eth0, pour annoncer le préfixe sur le lan:

Code: [Sélectionner]

            ipv6 {
                dup-addr-detect-transmits 1
                router-advert {
                    cur-hop-limit 64
                    link-mtu 0
                    managed-flag false
                    max-interval 600
                    other-config-flag false
                    prefix ::/64 {
                        autonomous-flag true
                        on-link-flag true
                        preferred-lifetime 14400
                        valid-lifetime 18000
                    }
                    reachable-time 0
                    retrans-timer 0
                    send-advert true
                }
            }

et pour terminer, il faut un script qui lance dibbler automatiquement quand l'ERL a fini de booter:

/config/scripts/post-config.d/dibbler-client.sh:

Code: [Sélectionner]

#!/bin/bash

service dibbler-client restart

A première vue le reste est bon.

pci · « **Réponse #2 le:** 16 mars 2017 à 21:41:13 »

Salut,
y'a pas les prio à setter aussi ?
/bin/ip link set dev $interface type vlan egress 0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0

Une conf qui fonctionne pour boitier debian like:
https://github.com/pci06/ba0bab

à adapter pour ton équipement.

keshav26 · « **Réponse #3 le:** 16 mars 2017 à 21:52:49 »

Citation de: pci le 16 mars 2017 à 21:41:13

Salut,
y'a pas les prio à setter aussi ?
/bin/ip link set dev $interface type vlan egress 0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0

Une conf qui fonctionne pour boitier debian like:
https://github.com/pci06/ba0bab

à adapter pour ton équipement.

Salut,

Merci pour ta réponse l'egress y est dans la vif 832 pourquoi il faut la mettre ailleurs?

Malheureusement la conf de https://github.com/pci06/ba0bab est plus orienter (openbsd ou debian pur) sur ERL il y a la couche vyatta.

Merci quand meme

pci · « **Réponse #4 le:** 16 mars 2017 à 21:55:32 »

pour l'ipv6 comme pour v4 d'ailleurs sur le PREINIT on met les prio sur le BOUND on les enlève
Pas besoin de les mettre ailleurs.

Par contre je n'ai pas vu l'équivalent d'un rdisc dans la conf "ERL" (soit un appel à rdisc soit fixer à la main la route vers ba0bab

default via fe80::ba0:bab dev vlan832 proto ra metric 1024 expires 3008sec hoplimit 255 pref medium

keshav26 · « **Réponse #5 le:** 16 mars 2017 à 21:58:15 »

Citation de: zoc le 16 mars 2017 à 21:28:56

il va manquer dans eth1 vif832:
Code: [Sélectionner]
ipv6 { address { autoconf } dup-addr-detect-transmits 1 }Pour que l'ERL accepte l'annonce de la route IPv6 par défaut envoyée par le routeur d'Orange.

et dans la configuration d'eth0, pour annoncer le préfixe sur le lan:
Code: [Sélectionner]
ipv6 { dup-addr-detect-transmits 1 router-advert { cur-hop-limit 64 link-mtu 0 managed-flag false max-interval 600 other-config-flag false prefix ::/64 { autonomous-flag true on-link-flag true preferred-lifetime 14400 valid-lifetime 18000 } reachable-time 0 retrans-timer 0 send-advert true } }
et pour terminer, il faut un script qui lance dibbler automatiquement quand l'ERL a fini de booter:

/config/scripts/post-config.d/dibbler-client.sh:
Code: [Sélectionner]
#!/bin/bash service dibbler-client restart
A première vue le reste est bon.

Merci Zoc pour l'info

Du coups la conf

Code: [Sélectionner]

            ipv6 {
                dup-addr-detect-transmits 1
                router-advert {
                    cur-hop-limit 64
                    link-mtu 0
                    managed-flag false
                    max-interval 600
                    other-config-flag false
                    prefix ::/64 {
                        autonomous-flag true
                        on-link-flag true
                        preferred-lifetime 14400
                        valid-lifetime 18000
                    }
                    reachable-time 0
                    retrans-timer 0
                    send-advert true
                }
            }

Il faudra l'ajouté dans le config.boot ?

Comme ça

Code: [Sélectionner]

    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        address 192.168.77.254/24
        description "LAN - Switch TP-Link"
        duplex auto
        speed auto
        ipv6 {
              dup-addr-detect-transmits 1
              router-advert {
              cur-hop-limit 64
              link-mtu 0
              managed-flag false
              max-interval 600
              other-config-flag false
              prefix ::/64 {
                     autonomous-flag true
                     on-link-flag true
                     preferred-lifetime 14400
                     valid-lifetime 18000
                    }
                    reachable-time 0
                    retrans-timer 0
                    send-advert true
                }
            }
    }
    ethernet eth1 {

Merci

keshav26 · « **Réponse #6 le:** 16 mars 2017 à 22:01:49 »

Citation de: pci le 16 mars 2017 à 21:55:32

pour l'ipv6 comme pour v4 d'ailleurs sur le PREINIT on met les prio sur le BOUND on les enlève
Pas besoin de les mettre ailleurs.

tu as une exemple ? Parce que là, actuellement je suis en IPv4 ça fonctionne très bien j'ai pas souvenir d'avoir fait ça

pci · « **Réponse #7 le:** 16 mars 2017 à 22:27:40 »

Les deux fichiers:
https://github.com/pci06/ba0bab/tree/master/original/etc/dhcp/orange/dhclient-enter-hooks.d

Peut-être qu'il n'y en a plus besoin.

kgersen · « **Réponse #8 le:** 16 mars 2017 à 22:31:16 »

Je ne suis pas sur que mélanger les confs linux 'pur' et les confs ERL soit une bonne idée même s'il y a des choses en commun.

J'ai déplacé dans ce sujet spécifique ce qui concerne l'ERL et IPv6.

keshav26 · « **Réponse #9 le:** 16 mars 2017 à 22:46:42 »

Citation de: kgersen le 16 mars 2017 à 22:31:16

Je ne suis pas sur que mélanger les confs linux 'pur' et les confs ERL soit une bonne idée même s'il y a des choses en commun.

J'ai déplacé dans ce sujet spécifique ce qui concerne l'ERL et IPv6.

Je suis de la meme avis que toi...

keshav26 · « **Réponse #10 le:** 16 mars 2017 à 22:50:05 »

Citation de: pci le 16 mars 2017 à 22:27:40

Les deux fichiers:
https://github.com/pci06/ba0bab/tree/master/original/etc/dhcp/orange/dhclient-enter-hooks.d

Peut-être qu'il n'y en a plus besoin.

Ok je vois, mais tu utilises quoi comme distrib est ce que tu l'as déjà testé sur un ERL?

pci · « **Réponse #11 le:** 16 mars 2017 à 22:57:15 »

Non jamais testé sur un ERL (je n'en ai pas, j'ai juste un couteau suisse linux debian like).