C’est pourtant pas bien compliqué. Tu prends le fichier que tu avais avant et tu fais
configure
set interfaces ethernet eth1 vif 832 dhcp-options global-option "option rfc3118-auth code 90 = string;"
commit
save
exit
Ca remplace la modification du fichier vyatte-interfaces.pl. Tout le reste du tuto de nanostra reste valable.
PS: l’egress-qos de nanostra est incorrect. C’est le miens qu’il faut prendre.
Merci @zoc je n'avais pas compris que je pouvais utiliser la config complète de @nanostra et bêtement simplement ajouter :
set interfaces ethernet eth1 vif 832 dhcp-options global-option "option rfc3118-auth code 90 = string;"j'avais mal interprété ce que tu voulais me dire par : "A adapter à une configuration avec Livebox... "
Du coup je m’embête pas remettre sur la config de @nanostra mais avec cette fois le bon egress-cos et tous sauvegarder âpres mes modif perso port Forward, etc... et je recommencerais cette nuit a travailler sur mon propre fichier pour quand même essayer de comprendre les différence entre ton fichier et celui de @nanostra car vous ne faite pas pareil au niveau config :
Edit :La parti question réponse :Réponse a certaine question résolu a force de chercher : (pour le reste je donne m'a langue au chat ou plutôt au expertQuestion : system {config-management {commit-revisions 5}}
Réponse : Garder un nombre X de révisions de la configuration en local ici par exemple 5
-----------------------
Question : (Question posé trop rapidement car j'avais je m’était déjà posé la question lors de la mise en place de l'architecture des Rev-Proxy desservant les serveurs en backend mais cela pourais cervir pour d'autres) service {gui{older-ciphers disable}}, (doit ont vraiment désactiver la prise en charge de la compatibilité des anciens ciphers)
Réponse :
Ubnt recommandais vers le 06-14-2016 de laisser par défauts la compatibilité des anciens ciphers activé (perso je désactive de plus en plus nous abandonnons les certificat auto signé, etc... nous sécurisons les accès et non sans raison donc ce n'est pas pour laisser la compatibilités sur d'anciens ciphers sur l'organe de sécurité le plus important du réseau pouvant créer un risque de corruption sur les infos securisée transmise à partir de l'interface du routeur. Attention quand même si vous utiliser un WinXP qui traîne dans votre archi par exemple ça peux être embêtant dans ce cas.
https://community.ubnt.com/t5/EdgeMAX-Updates-Blog/EdgeMAX-EdgeRouter-software-release-v1-8-5/ba-p/1591710-----------------------
Question : offload {ipv4 {gre enable}} ( a quoi correspond ce "gre" )
Réponse : Generic Routing Encapsulation (permet effectuer un tunnel entre deux router sépare par internet, réponse courte et non explicative car j'ai pas bien compris le principes.)
-----------------------
Question : traffic-analysis {dpi disable, export disable} (a quoi sert le "export" car le "dpi" moi je veux qui soit sur enable mais "export" correspond a quoi exactement)
Réponse : Le terme «export» fait uniquement référence à l'exportation de données internes du moteur d'analyse de trafic vers l'interface Web.
-----------------------
Question : protocols {}
Réponse :-----------------------
Question : service {dns}, ( @nanostra met rien , toi @zoc tu fais forwarding sur dns orange avantage/inconvénient après relecture je pense qu'il y a corrélation avec question dessous "system {name-server}" et donc avantage/inconvénient quel est le mieux ?)
Réponse :-----------------------
Question : system {name-server} (toi tu pointe sur le router et donc fait répondre le router ou si tls dépassé je suppose router va chercher infos a extérieure est ce mieux ou pas ? @nanostra pointe direct sur google et OpenDNS quel avantage ou inconveniant ? )
Réponse :-----------------------
Question : package {repository wheezy-security} (@nanostra ajoute cela mais je croyait avoir vu que les packet securité pouvais altéré le fonctionnement de OS edgeMax, il me semble que c'est ici
https://community.ubnt.com/t5/EdgeRouter/No-more-Security-Updates/td-p/1552169Réponse :-----------------------
Question : service {upnp2} (ajout d'un port chez toi ! )
Réponse :-----------------------
Question : system {conntrack{}} (je ne comprend pas a quoi corresponde les paramètre de "conntrack")
Réponse :-----------------------
En plus si j'ai bien compris @nanostra utilise une ancienne version de ton fichier donc ça veux dire que il y a surement pas mal de paramètre que tu a du amélioré sur le tiens d'ou surement toutes c'est différences
Je sais que je demande vraiment beaucoup mais je veux pas simplement faire du copier coller et je n'arrive pas a trouver les réponse exacte sur le net pour tous c'est paramètre,je pense pas être le seul a vouloir tous comprendre du pourquoi du comment c'est paramétré comme cela et pas d'autrement car il y a un nombres impressionnant de config différente sur le net qui marche surement toutes mais avec des différences obligatoire qui ne ce vois pas si on va pas fouiller dans le router.
Donc si @zoc tu veux bien me donner un peu de ton temps encore car la réponse pour egresse était vraiment tip top claire et nette c'est exactement se que je cherchais et surement plein d'autre personne aussi.
Je comprendrais tout a fait que tu ne veuille pas passer ton temps a tous expliqué et je ne t'en voudrais pas pour autant @zoc je te rassure.
Merci
Version v1.10.1
Par rapport a ce que j'avais pas trouver entre temps et a des test j'ai créer ce fichier config.boot mais la livebox n'arrive pas a ce connecté et sais pas pourquoi il me semble avoir respecté tous mais apparemment je doit faire quelque chose de travers si quelqu'un a une idée ?
Sinon au niveau Eth2 tous fonctionne au niveau internet
firewall {
all-ping enable
broadcast-ping disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "bro -> eth0.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.2.1/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 838 {
bridge-group {
bridge br0
}
description "eth0.838 LIVEBOX (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox3";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 838 {
bridge-group {
bridge br0
}
description "eth1.838 (VoD)"
egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 LOCAL LAN SWITCH"
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN_ETH2_DHCP {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
domain-name erl3.local
lease 86400
start 192.168.10.2 {
stop 192.168.10.254
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.2.30 {
stop 192.168.2.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
use-dnsmasq enable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 9.9.9.9
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.10.1
listen-address 192.168.2.1
older-ciphers disable
}
nat {
rule 5010 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.10.1
listen-address 192.168.2.1
allow-root
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 10
}
domain-name erl3.local
host-name ubnt
login {
user root {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
full-name "Root"
level admin
}
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
full-name "Ubnt"
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
gre enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.9.1.4939093.161214.0705 */
Remplacer la LiveBox par un routeur