Auteur Sujet: TUTO - Remplacer sa Livebox par routeur Ubiquiti + LIVEBOX (PARTIE 2 IPV6) (Lu 30708 fois)

kaktuss77 · « **Réponse #60 le:** 17 juillet 2018 à 21:00:37 »

Bien vu !!

je me sens gêné

Au top, en tout cas je note dans ma petite test ^^

edit : il faudrait noté dans le tuto le fait d'activé l'offload ipv6 foward et vlan

nicox11 · « **Réponse #61 le:** 27 août 2018 à 16:43:09 »

Mon message est peut-être limite hors sujet, mais orange donne bien un bloc ipv6 fixe ? Ou "semi-fixe" ?
J'ai pas réussi à trouver la réponse, sur internet les infos remontent à 2016.
Merci

zoc · « **Réponse #62 le:** 27 août 2018 à 16:45:38 »

"semi" (le mien n'a changé qu'une fois depuis qu'IPv6 est déployé chez Orange).

nicox11 · « **Réponse #63 le:** 27 août 2018 à 16:51:44 »

Et on gère comment ce changement, il faut se retapper tous les paramétrages ip fixe pour les machines du LAN (pour les serveurs par exemple)?
Ou il y a possibilité d'utiliser des astuces? Je connais pas trop ipv6, mais avec dhcp via addresse mac et delegation de préfixe, il y a possibilité de faire quelque chose d'automatisé ?
Avec IPV4, j'utilise des addresses privées, mais comment ça marche avec IPV6 ?

zoc · « **Réponse #64 le:** 27 août 2018 à 17:04:34 »

Alors perso, ce que je fais:

J'utilise SLAAC pour attribuer mes (voir plus bas) préfixes à toutes mes machines, y compris mes serveurs. Pour les serveurs sous linux, j'utilise "ip token set" pour configurer les 64 bits de poids faible de l'adresse à autre chose que l'adresse mac...
En plus du préfixe attribué par Orange, j'utilise en plus un second préfixe ULA (équivalent des adresses privées IPv4), qui, lui, ne change jamais
Sur mon DNS interne, je ne publie que les adresses utilisant le préfixe ULA (comme ça si le préfixe Orange change, pas de modifs à faire dans mon DNS)
Pour les quelques serveurs accessibles depuis le net (3 ou 4, une petite partie de tous les containers que j'ai en fait), à chaque changement de préfixe j'ai un script sur le routeur qui va modifier mes zones sur leurs DNS autoritaires (elles sont chez cloudflare, il est assez facile de faire des modifs avec leur API REST)

Dans l'idéal, il faudrait pouvoir faire du NPTv6 et n'avoir qu'un adressage ULA sur le LAN, le routeur se chargeant de faire la traduction d'un préfixe à l'autre. Mais point de NPTv6 sur EdgeOS.

Zelda2000 · « **Réponse #65 le:** 27 août 2018 à 17:14:16 »

Merci pour ce tuto il m'a bien aidé pour me débarasser de la livebox3 et de ses déco intempestives. Je la garde juste pour le téléphone et pour la TV.

Je viens de faire l'acquisition d'un ERLite-3 et j'ai pu parfaitement le configurer grâce à vous tous.

J'ai juste un dernier problème, et souhaiterai votre aide: lorsque je fais un test ipv6 j'ai systématiquement la note de 19/20 (sur Ipad) avec un problème sur Hostname None dans IPV6 connectivity.

J'ai vu que certains n'avait pas ce problème. Une idée à me soumettre pour avoir un joli 20/20 ?

Au passage il faut corriger l'offload ipv6 dans le tuto en prenant en compte la config suivante:

Code: [Sélectionner]

    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            vlan enable
        }
        ipv6 {
            forwarding enable
            vlan enable
        }
    }

Voici le code complet pour un ERLite-3, j'ai gardé l'adresse 192.168.1.254 de ma livebox, du coup si mon ERLite merdoit un jour j'ai juste à débrancher le câble réseau ETH2 et le rebrancher sur la Livebox.

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WANv6 inbound traffic forwarded to LAN"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow ICMPv6"
            log disable
            protocol icmpv6
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WANv6 inbound traffic to the router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow ICMPv6"
            log disable
            protocol icmpv6
        }
        rule 40 {
            action accept
            description "Allow DHCPv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-name WANv6_OUT {
        default-action accept
        description "WANv6 outbound traffic"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action reject
            description "Reject invalid state"
            state {
                invalid enable
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 1 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 2 {
            action accept
            description "Allow Ping"
            destination {
                group {
                    address-group ADDRv4_eth2
                }
            }
            log enable
            protocol icmp
        }
        rule 3 {
            action drop
            description "Drop invalid state"
            log disable
            state {
                invalid enable
            }
        }
    }
    options {
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        aging 300
        bridged-conntrack disable
        description "bro -> eth0.838 LIVEBOX (VoD)"
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
    bridge br1 {
        aging 300
        bridged-conntrack disable
        description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        description "eth0 VERS LIVEBOX"
        duplex auto
        speed auto
        vif 832 {
            address 192.168.2.1/24
            description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "eth0.838 LIVEBOX (VoD)"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br1
            }
            description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth1 {
        description "eth1 ONT (FIBRE RJ45)"
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description "eth1.832 (INTERNET + VOIP + CANAL 2)"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox4&quot;;"
                client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx;"
                client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
                default-route update
                default-route-distance 210
                global-option "option rfc3118-auth code 90 = string;"
                name-server update
            }
            egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
            firewall {
                in {
                    ipv6-name WANv6_IN
                    name WAN_IN
                }
                local {
                    ipv6-name WANv6_LOCAL
                    name WAN_LOCAL
                }
            }
            ipv6 {
                address {
                    autoconf
                }
                dup-addr-detect-transmits 1
            }
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "eth1.838 (VoD)"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br1
            }
            description "eth1.840 (ZAPPING + CANAL 1)"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {
        address 192.168.1.254/24
        description "eth2 LOCAL LAN SWITCH"
        duplex auto
        speed auto
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    preferred-lifetime 14400
                    valid-lifetime 18000
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
    }
    loopback lo {
    }
}
protocols {
    static {
        route6 ::/0 {
            next-hop fe80::ba0:bab {
                interface eth1.832
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        global-parameters "option rfc3118-auth code 90 = string;"
        global-parameters "option SIP code 120 = string;"
        global-parameters "option Vendor-specific code 125 = string;"
        hostfile-update disable
        shared-network-name LAN {
            authoritative disable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.254
                dns-server 8.8.8.8
                dns-server 8.8.4.4
                domain-name FD-HOME
                lease 86400
                start 192.168.1.3 {
                    stop 192.168.1.253
                }
            }
        }
        shared-network-name LIVEBOX {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 81.253.149.9
                dns-server 80.10.246.1
                domain-name orange.fr
                lease 86400
                start 192.168.2.30 {
                    stop 192.168.2.50
                }
                subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
                subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
                subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
    }
    ssh {
        allow-root
        port 22
        protocol-version v2
    }
    upnp2 {
        listen-on eth0.832
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan eth1.832
    }
}
system {
    config-management {
        commit-revisions 50
    }
    domain-name FD-HOME
    host-name ubnt
    login {
        user root {
            authentication {
                encrypted-password XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
                plaintext-password ""
            }
            full-name ""
            level admin
        }
        user ubnt {
            authentication {
                encrypted-password XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
                plaintext-password ""
            }
            full-name ""
            level admin
        }
    }
    name-server 8.8.8.8
    name-server 8.8.4.4
    name-server 208.67.222.222
    name-server 208.67.220.220
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    offload {
        hwnat disable
        ipsec enable
        ipv4 {
            forwarding enable
            vlan enable
        }
        ipv6 {
            forwarding enable
            vlan enable
        }
    }
    package {
        repository wheezy {
            components "main contrib non-free"
            distribution wheezy
            password ""
            url http://http.us.debian.org/debian
            username ""
        }
        repository wheezy-security {
            components main
            distribution wheezy/updates
            password ""
            url http://security.debian.org
            username ""
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Paris
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.5.5098915.180622.1355 */

nicox11 · « **Réponse #66 le:** 27 août 2018 à 17:18:25 »

Citation de: zoc le 27 août 2018 à 17:04:34

Alors perso, ce que je fais:
J'utilise SLAAC pour attribuer mes (voir plus bas) préfixes à toutes mes machines, y compris mes serveurs. Pour les serveurs sous linux, j'utilise "ip token set" pour configurer les 64 bits de poids faible de l'adresse à autre chose que l'adresse mac...
En plus du préfixe attribué par Orange, j'utilise en plus un second préfixe ULA (équivalent des adresses privées IPv4), qui, lui, ne change jamais
Sur mon DNS interne, je ne publie que les adresses utilisant le préfixe ULA (comme ça si le préfixe Orange change, pas de modifs à faire dans mon DNS)
Pour les quelques serveurs accessibles depuis le net (3 ou 4, une petite partie de tous les containers que j'ai en fait), à chaque changement de préfixe j'ai un script sur le routeur qui va modifier mes zones sur leurs DNS autoritaires (elles sont chez cloudflare, il est assez facile de faire des modifs avec leur API REST)

Dans l'idéal, il faudrait pouvoir faire du NPTv6 et n'avoir qu'un adressage ULA sur le LAN, le routeur se chargeant de faire la traduction d'un préfixe à l'autre. Mais point de NPTv6 sur EdgeOS.

Merci pour les infos !

Avec le SLAAC + "ip token set", les serveur apprennent automatiquement la nouvelle adresse tout en gardant les 64 bits de poids faibles predefinis ?
Du coup pour tes machines "privées", ells ont deux addresses ipv6 ? Une ULA et une avec le prefixe d'orange ?

zoc · « **Réponse #67 le:** 27 août 2018 à 17:44:59 »

Oui et oui.

sebhug · « **Réponse #68 le:** 02 septembre 2018 à 11:38:40 »

Bonjour a tous,

Tout a très bien fonctionné pour l'ipv4, merci à l'auteur et aux différents contributeurs.

J'essaye actuellement de configurer l'ipv6 un EdgeRouter X et je rencontre un problème avec dibbler.
Le package fourni étant pour une architecture mips, le edgerouter X a une architecture mipsel ce qui empêche dpkg de fonctionner.
J'ai donc installé dibbler-client via apt-get.

La version est installée est la 0.8.2 mais lorsque j'essaye de démarrer dibbler-client je me retrouve avec une syntax error :

Code: [Sélectionner]

Config parse error: line 19, unexpected [00:00:04:0e:00:05:73:61:67:65:6d] token.
Voici la ligne concernée :

Code: [Sélectionner]

option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
Et voici les différentes modifications que j'ai déjà tenté :

Code: [Sélectionner]

option 16 duid 00:00:04:0e:00:05:73:61:67:65:6d

Code: [Sélectionner]

option 16 duid 0x0000040e0005736167656d

Code: [Sélectionner]

option 16 hex 0x0000040e0005736167656d
J'ai également vérifié plusieurs fois que le fichier avait bien le bon encodage / fin de ligne.

Voici le fichier client.conf complet avec la ligne option 11 modifiée pour masquer l'identifiant.

Code: [Sélectionner]

root@ubnt:/etc/dibbler# cat client.conf
# Defaults for dibbler-client
# installed at /etc/dibbler/client.conf by the maintainer script

# 8 (Debug) is most verbose. 7 (Info) is usually the best option
log-level 7

# To perform stateless (i.e. options only) configuration, uncomment
# this line below and remove any "ia" keywords from interface definitions
# stateless


downlink-prefix-ifaces "none"
script "/etc/dibbler/radvd.sh"


iface eth4.832 {
    pd
    option 16 hex 00:00:04:0e:00:05:73:61:67:65:6d
    option 15 hex 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:34
    option 11 hex 00:00:00:00:00:00:00:00:00:00:00:XX
    option 11 hex 00:00:00:00:00:00:00:00:00:00:00:XX
    option dns-server
}

J'ai essayé une grande quantité de choses en regardant plusieurs forums mais je n'arrive vraiment pas à résoudre cela. Si quelqu'un aurait une solution ça serait vraiment super !

Merci d'avance

zoc · « **Réponse #69 le:** 02 septembre 2018 à 15:11:17 »

Citation de: sebhug le 02 septembre 2018 à 11:38:40

La version est installée est la 0.8.2

1.0.1 mini obligatoire (les précédentes ne supportent pas les options nécessaires).

sebhug · « **Réponse #70 le:** 02 septembre 2018 à 17:17:23 »

Citation de: zoc le 02 septembre 2018 à 15:11:17

1.0.1 mini obligatoire (les précédentes ne supportent pas les options nécessaires).

Effectivement ça fonctionne meme si ça demande quelques modifications pour que dibbler-client ait bien toutes les dépendances nécessaires.

Merci !

mirtouf · « **Réponse #71 le:** 08 septembre 2018 à 09:42:53 »

Le paquet dibbler fourni correspond à une architecture mips (soc cavium) avec un boutisme différent de l'architecture mipsel (soc MediaTeK), voic donc les paquets compilés par mes soins pour Wheezy avec le patch de zoc pour la cos6.
Le paquet "dbg" est uniquement utilisé à des fins de déboguage, le paquet doc contient la documentation.
J'ai les autres paquets si vous le souhaitez.

EDIT: le patch n'est pas passé, je remets des fichiers avec le patch appliqué.