Auteur Sujet: Tuto - ER4 - v2.0.8 - IPv6 + TV et Tel avec Livebox (Lu 27668 fois)

pascal9 · « **Réponse #108 le:** 09 novembre 2020 à 21:40:05 »

Citation de: pinomat le 08 novembre 2020 à 21:22:02

J'éviterai à ta place d'utiliser le switch sur un routeur pour garder des bonnes performances.

J'avais lu que le switch de l'ER était un vrai switch, mais sans info de performance.
Je viens de trouver cela https://community.ui.com/questions/ER-X-switching-performance/de5457a5-ec0b-42e7-839d-900c2d4426cc

Citer

The ER-X ports are on a switch chip, so when using them with switch0 it should be line rate, just like the ER-POE

Donc je pourrais penser que cela ne doit pas perturber les perf du router et que le switch de l'ER est au moins aussi bon que mon vieux Netgear GS108 et certainement mieux que mon FS108P qui est 100 Mbps? surtout si je dois cascader les switchs
Pour mon GS108, j'ai trouvé des chiffres

Citer

Bandwidth: 16 Gbps (non-blocking)
Forwarding rate: 1000 Mbps port: 1,480,000 packets/sec
Latency (using 1500-byte packets): 1000 Mbps: 4μs (max)

Pour l'ER, j'ai cela

Citer

Layer 3 Forwarding Performance
Packet Size: 64 Bytes 3,400,000 pps
Packet Size: 1518 Bytes or Larger 6.8 Gbps (Line Rate)

Mais je ne sais pas si c'est comparable

pinomat · « **Réponse #109 le:** 10 novembre 2020 à 11:31:00 »

Citation de: pascal9 le 09 novembre 2020 à 20:32:21

Le . après le local pour le dernier, c'est ok ou non?

A priori le point ne dérange pas. Je l'ai vu dans une de mes configurations.

Citation de: pascal9 le 09 novembre 2020 à 20:32:21

Faudrait-il modifier ce fichier pour que ça marche bien, je suppose que c'est utile pour les systèmes qui doivent être accédés par les autres?

Il n'y a que toi qui peut savoir. Tout dépend comment tes applications fonctionnent/communiquent et comment elles sont configurées...
Si tu veux que le nom de tes machines soit résolu avec le nom de domaine ".local", il faut soit domain local soit search local dans ton fichier /etc/resolv.conf.
Lorsque tu utilises un nom de machine au lieu de l'IP, tu vas résoudre le nom de ta machine (par ex : nom1) + le nom de domaine (par ex : local) s'il est spécifié dans /etc/resolv.conf --> nom1.local. Si le domaine n'est pas spécifié, il va résoudre uniquement le nom de la machine (nom1) --> nom.
Ton fichier /etc/hosts (vu la configuration mise en place) contient l'IP associée au nom de ta machine + nom de domaine... Donc tu dois avoir "domain local" ou "search local" dans ton fichier.

"search local" n'est pas obligatoire si tu as 1 seul domaine et que tu as déjà "domain local". Si tu as par exemple : search local local2 local3
Lorsque tu vas résoudre nom1, ton PC essaiera de résoudre les noms suivants nom1.local nom1.local2 et nom1.local3.

Citation de: pascal9 le 09 novembre 2020 à 21:40:05

J'avais lu que le switch de l'ER était un vrai switch, mais sans info de performance.

OK pour le switch0, peut-être qu'il n'y a pas de problème de performance sur les derniers modèles.

Citation de: pascal9 le 09 novembre 2020 à 21:40:05

Donc je pourrais penser que cela ne doit pas perturber les perf du router et que le switch de l'ER est au moins aussi bon que mon vieux Netgear GS108 et certainement mieux que mon FS108P qui est 100 Mbps? surtout si je dois cascader les switchs

A toi de vérifier que les performances sont bien là quand tu fais les modifs.

pascal9 · « **Réponse #110 le:** 11 novembre 2020 à 00:15:12 »

Citation de: pinomat le 10 novembre 2020 à 11:31:00

...Donc tu dois avoir "domain local" ou "search local" dans ton fichier

Je vais regarder le point et faire le modif progressivement. Est-il gênant d'avoir tout les hosts avec des alias = host.local? Une fois que c'est fait? J'essaierai d'optimiser par la suite avec tes inputs ; je vais essayer de passer un peu de temps sur la suite de la config.

Citer

...le switch0, peut-être qu'il n'y a pas de problème de performance sur les derniers modèles.
A toi de vérifier que les performances sont bien là quand tu fais les modifs.

J'ai configuré le switch0 comme un clone du eth3.
Vérifier les performances... comment faire? J'ai fait le speedtest d'Ookla après avoir fait la config
D'une part sur eth3 + switch + PC => en moyenne ping 1 ms, down 327 Mbps, up 300 Mbps (il y une semaine, 1, 327, 330)
Et sur switch0 (eth9) + PC => en moyenne ping 1 ms, down 340 Mbps, up 336 Mbps
Donc même résultat à 5 à 10% près, l'avantage sur la suppression du switch n'est pas forcément significative vu les variations des résultat et le peu de tests effectués.
(dans ce qui est visé, la comparaison serait ER + switch1 + switwh2 + PC vs ER + switwh2 + PC)
Ce test est certes un peu simpliste. Une autre idée de test réalisable?

Autre point, depuis le changement de config, fin octobre, le mail d'alerte de supervision nagios sont ne partent plus! Ils passent pas le relai SMTP du mail server du Synology
J'en suis au point où l'erreur est "lost connection while receiving the initial server greeting" ; comme je n'avais rien touché à la config, je me demande si ce n'est pas au changement de réseau, mais je ne comprends pas trop pourquoi, car il y avait aucun NAT vers ce Syno! et je ne vois pas en quoi le FW du LAN pourrait perturber qqch (quand j'ai découvert le problème, j'ai un fait qq modif à la hâte :-( et je ne suis plus sûr de la config initiale, mais l'historique montrent des erreurs autour de la date de changement de LAN)

Merci pour le schéma explicatif du FW. Je l'avais vu dans le doc que j'avais cité https://github.com/mjp66/Ubiquiti/blob/master/Ubiquiti%20Home%20Network.pdf, il contient les explications du dessin. Comme tu proposes aussi ce schéma, je le considère comme une bonne source ; une lecture pour les jours à venir...

pascal9 · « **Réponse #111 le:** 14 novembre 2020 à 17:41:14 »

J'ai fait quelques mesures: download, upload, latence avec Ookla à partir d'un PC.
Dans 3 cas, avec la LB, sur le LAN d'eth3, sur le LAN de switch0 (interne à l'ER)
1/ ONT -- LB -- PC
2/ ONT -- ER eth2 -- switch Netgear -- PC
3/ ONT -- ER switch0 -- PC
En download, upload, la LB est au dessus de 400 Mbps alors que l'ER est autour de 300 Mbps.
Pour la latence la LB est un peu mieux également.
Entre eth2 + switch externe ou switch0 il n'y a pas de différence significative.
La mesure est peut-être limitée par mon PC ou la câble, mais la sujet n'est pas forcément la performance dans l'absolue, mais plutôt le fait que la LB aurait de meilleures performances que l'ER. Est-ce une question de réglage, car j'ai crû voir de meilleure performance pour l'ER?
Voir les graphiques: 1 mesure toutes les 5 minutes
La config

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WANv6 inbound traffic forwarded to LAN"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow ICMPv6"
            log disable
            protocol icmpv6
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WANv6 inbound traffic to the router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow ICMPv6"
            log disable
            protocol icmpv6
        }
        rule 40 {
            action accept
            description "Allow DHCPv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-name WANv6_OUT {
        default-action accept
        description "WANv6 outbound traffic"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action reject
            description "Reject invalid state"
            state {
                invalid enable
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action accept
            description "Allow Ping"
            destination {
                group {
                    address-group ADDRv4_eth2
                }
            }
            log enable
            protocol icmp
        }
        rule 30 {
            action accept
            description "Allow IGMP"
            log disable
            protocol igmp
        }
        rule 40 {
            action drop
            description "Drop invalid state"
            log disable
            state {
                invalid enable
            }
        }
    }
    name WAN_OUT {
        default-action accept
        description "WAN outbound traffic"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action reject
            description "Reject invalid state"
            state {
                invalid enable
            }
        }
    }
    options {
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        description "eth0 - Livebox"
        duplex auto
        speed auto
        vif 832 {
            address 192.168.30.1/24
            description "eth0.832 - Internet + VoIP"
            dhcp-options {
                default-route update
                default-route-distance 210
                name-server update
            }
        }
    }
    ethernet eth1 {
        description "eth1 - ONT"
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description "eth1.832 - Internet + VoIP"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox4&quot;;"
                client-option "send dhcp-client-identifier 01:XXXX:5C;"
                client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication, domain-search, SIP-servers, Vendor-Specific-Information;"
                client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00YYYY:e7;"
                default-route update
                default-route-distance 210
                global-option "option rfc3118-authentication code 90 = string;"
                global-option "option SIP-servers code 120 = string;"
                global-option "option Vendor-Specific-Information code 125 = string;"
                name-server no-update
            }
            egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
            firewall {
                in {
                    ipv6-name WANv6_IN
                    name WAN_IN
                }
                local {
                    ipv6-name WANv6_LOCAL
                    name WAN_LOCAL
                }
                out {
                    ipv6-name WANv6_OUT
                    name WAN_OUT
                }
            }
        }
        vif 840 {
            address 192.168.40.1/24
            description "eth1.840 - TV"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {
        address 192.168.10.1/24
        description "eth2 - LAN"
        duplex auto
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    preferred-lifetime 14400
                    valid-lifetime 18000
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        speed auto
    }
    ethernet eth3 {
        address 192.168.20.1/24
        description "eth3 - TV"
        duplex auto
        speed auto
    }
    ethernet eth4 {
        duplex auto
        speed auto
    }
    ethernet eth5 {
        duplex auto
        speed auto
    }
    ethernet eth6 {
        duplex auto
        speed auto
    }
    ethernet eth7 {
        duplex auto
        speed auto
    }
    ethernet eth8 {
        duplex auto
        speed auto
    }
    ethernet eth9 {
        duplex auto
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        address 192.168.9.1/24
        description "switch LAN"
        mtu 1500
        switch-port {
            interface eth6 {
            }
            interface eth7 {
            }
            interface eth8 {
            }
            interface eth9 {
            }
            vlan-aware disable
        }
    }
}
protocols {
    igmp-proxy {
        interface eth1.840 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth3 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
        interface switch0 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
}
service {
    dhcp-server {
        disabled false
        global-parameters "option rfc3118-auth code 90 = string;"
        global-parameters "option SIP code 120 = string;"
        global-parameters "option Vendor-specific code 125 = string;"
        hostfile-update enable
        shared-network-name LAN {
            authoritative enable
            subnet 192.168.10.0/24 {
                default-router 192.168.10.1
                dns-server 192.168.10.1
                dns-server 8.8.8.8
                domain-name local
                lease 86400
                start 192.168.10.3 {
                    stop 192.168.10.254
                }
                static-mapping CRIOS {
                    ip-address 192.168.10.201
                    mac-address 00:11:32:35:df:b4
                }
                static-mapping CRIOS107 {
                    ip-address 192.168.10.203
                    mac-address 00:11:32:03:62:98
                }
                static-mapping CRIOS210 {
                    ip-address 192.168.10.202
                    mac-address 00:11:32:07:bb:3f
                }
                static-mapping Cam1Reolink {
                    ip-address 192.168.10.116
                    mac-address ec:71:db:68:de:4d
                }
                static-mapping epsCuve {
                    ip-address 192.168.10.114
                    mac-address 68:c6:3a:a6:5b:e1
                }
                static-mapping erato {
                    ip-address 192.168.10.111
                    mac-address b8:27:eb:7d:00:36
                }
                static-mapping hestia {
                    ip-address 192.168.10.112
                    mac-address b8:27:eb:25:53:b5
                }
                static-mapping lmsSalon {
                    ip-address 192.168.10.115
                    mac-address b8:27:eb:42:7b:aa
                }
                static-mapping switchStudio {
                    ip-address 192.168.10.101
                    mac-address bc:cf:4f:fc:69:99
                }
                static-mapping vito {
                    ip-address 192.168.10.113
                    mac-address b8:27:eb:13:3a:55
                }
                static-mapping wapChambre {
                    ip-address 192.168.10.104
                    mac-address 1c:87:2c:66:5a:30
                }
                static-mapping wapSalon {
                    ip-address 192.168.10.103
                    mac-address 04:d9:f5:92:fc:88
                }
                static-mapping wapStudio {
                    ip-address 192.168.10.105
                    mac-address a8:5e:45:96:80:70
                }
            }
        }
        shared-network-name LAN2 {
            authoritative enable
            subnet 192.168.9.0/24 {
                default-router 192.168.9.1
                dns-server 192.168.9.1
                dns-server 9.9.9.9
                domain-name local2
                lease 86400
                start 192.168.9.11 {
                    stop 192.168.9.199
                }
            }
        }
        shared-network-name Livebox {
            authoritative enable
            subnet 192.168.30.0/24 {
                default-router 192.168.30.1
                dns-server 80.10.246.134
                dns-server 81.253.149.5
                lease 86400
                start 192.168.30.30 {
                    stop 192.168.30.50
                }
                subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
                subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
                subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
                subnet-parameters "option domain-search &quot;NCY.access.orange-multimedia.net.&quot;;"
                subnet-parameters "option domain-name &quot;orange.fr&quot;;"
            }
        }
        shared-network-name TV {
            authoritative disable
            subnet 192.168.20.0/24 {
                default-router 192.168.20.1
                dns-server 80.10.246.134
                dns-server 81.253.149.5
                lease 86400
                start 192.168.20.30 {
                    stop 192.168.20.50
                }
                subnet-parameters "option Vendor-specific 00:00:0d:e9:28:04:06:46:38:30:38:34:46:05:0f:4c:4b:31:39:32:32:36:44:50:39:39:32:37:31:35:06:0d:4c:69:76:65:62:6f:78:20:46:69:62:72:65;"
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 200
            listen-on eth2
            listen-on eth3
            name-server 1.1.1.1
            name-server 1.0.0.1
            name-server 8.8.8.8
            name-server 8.8.4.4
            options expand-hosts
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
    }
    ssh {
        allow-root
        port 22
        protocol-version v2
    }
    unms {
        disable
    }
    upnp2 {
        listen-on eth0.832
        listen-on eth2
        nat-pmp enable
        secure-mode enable
        wan eth1.832
    }
}
system {
    config-management {
        commit-revisions 50
    }
    domain-name local
    host-name EdgeRouter
    ipv6 {
    }
    login {
        user ubnt {
            authentication {
                encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.            }
            level admin
        }
    }
    name-server 9.9.9.9
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    static-host-mapping {
        host-name cam1reolink {
            alias cam1reolink.local
            inet 192.168.10.116
        }
        host-name crios {
            alias crios.local
            inet 192.168.10.201
        }
        host-name crios107 {
            alias crios107.local
            inet 192.168.10.203
        }
        host-name crios210 {
            alias crios210.local
            inet 192.168.10.202
        }
        host-name epsCuve {
            alias espcuve.local
            alias espcuve
            inet 192.168.10.114
        }
        host-name erato {
            alias lmserato
            alias lmserato.local
            alias lmschambre.local
            alias erato
            alias chambre
            alias erato.local
            inet 192.168.10.111
        }
        host-name hestia {
            alias hestia.local
            inet 192.168.10.112
        }
        host-name lmssalon {
            alias lmssalon.local
            inet 192.168.10.115
        }
        host-name switchstudio {
            alias switchstudio.local
            inet 192.168.10.101
        }
        host-name vito {
            alias vito.local
            inet 192.168.10.113
        }
        host-name wapSalon {
            alias wapsalon.local
            inet 192.168.10.103
        }
        host-name wapchambre {
            alias wapchambre.local
            inet 192.168.10.104
        }
        host-name wapstudio {
            alias wapstudio.local
            inet 192.168.10.105
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export disable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1641 */

pascal9 · « **Réponse #112 le:** 14 novembre 2020 à 19:41:50 »

j'ai activé le Hardware Offloading
https://help.ui.com/hc/en-us/articles/115006567467-EdgeRouter-Hardware-Offloading

Code: [Sélectionner]

    offload {
        hwnat enable
        ipsec enable

et j'arrive à 400Mbps sur un test, à creuser car tout n'est pas activable sur l'ER10x
A tester aussi si TV et LB / tel fonctionne encore aussi....

pascal9 · « **Réponse #113 le:** 15 novembre 2020 à 11:54:29 »

Un peu plus de mesures avec le Hardware Offloading montre que l'on est aussi bon que la LB
Sur le download / upload idem, sur la latence, la LB un peu mieux, mais il n'y a pas le même nombre de mesures
Le dernier graphe montre avec la TV allumée en même temps avant le trait orange et après TV éteinte => la TV ne semble pas avoir beaucoup d'influence.
Donc par rapport à l'utilisation du switch interne (switch0) par rapport à un eth + switch externe, pas de différence significative
Pour mon usage, ces performances sont suffisantes, mais par curiosité, qu'est-ce qui bloque pour avoir plus? mon abonnement, la carte réseau du PC? La config de l'ER?

pinomat · « **Réponse #114 le:** 15 novembre 2020 à 15:58:11 »

Citation de: pascal9 le 15 novembre 2020 à 11:54:29

Pour mon usage, ces performances sont suffisantes, mais par curiosité, qu'est-ce qui bloque pour avoir plus? mon abonnement, la carte réseau du PC? La config de l'ER?

Hello,

Comment tester ? Le mieux est peut-être d'avoir 2 lignes identiques et de faire ces tests entre ces deux lignes avec 2 routeurs. Je ne vois pas comment faire auterment. Quelle est la capacité théorique de ta ligne ?

J'ai un er-6p avec une ligne 1gb/600Mb. L'er-6p monte à 12-15% de CPU à 950 Mbps. Donc je considère que j'ai de la marge et que ce n'est pas matériel. Est-ce que tu as regardé le CPU quand tu faisais tes tests ?

Je ne sais pas comment optimiser... Problème de routage, de règle de parefeu, protocole de routage ? Je ne sais pas trop comment tu pourrais faire, je ne m'y connais pas assez

pascal9 · « **Réponse #115 le:** 15 novembre 2020 à 16:39:20 »

Merci
CPU de l'ER à 1 à 2% avec 2 PC qui exécute le speedtest en //
La somme des 2 uploads fait 416 et la somme des 2 downloads fait 425 Mbps, soit à peine plus que un seul PC, donc peut-être une limitation par la carte réseau de mon PC. Corroboré par le fait que l'on a à peu près les mêmes perf vues du PC avec ou sans la TV.
Pas de besoin d’optimiser plus. J'ai encore bcp de temps à passer pour comprendre ce qui est fait et ce dont j'ai besoin.

SimonG85 · « **Réponse #116 le:** 23 décembre 2020 à 15:43:30 »

Bonjour je suis nouveau,

je viens d'acquérir un ER-X, j'ai un petit souci, je n'arrive pas accéder à la TV par le décodeur, Internet fonctionne parfaitement. J'aimerais être éclairé.

Ma config :

ETH 1 : ONT

ETH 2 : LAN + Switch avec Décodeur

Je vous mets ma configuration boot :

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        enable-default-log                    
        rule 10 {
            action accept
            description "Allow established/related"   
         log disable
            protocol all
            state {
                established enable
            invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
         log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 1 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 3 {
            action drop
            description "Drop invalid state"
            log disable
            state {
                invalid enable
            }
        }
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        aging 300
        bridged-conntrack disable
        description "bro -> eth0.838 LIVEBOX (VoD)"
        hello-time 2
        max-age 20
        priority 0
        promiscuous di[ttsable
        stp false
    }
    bridge br1 {
        aging 300
        bridged-conntrack disable
        description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
ethernet eth0 {
        description "eth0 VERS LIVEBOX"
                       
        duplex auto
        speed auto
        vif 832 {
            address 192.168.1.254/24
            description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
        }
        
        vif 840 {
            bridge-group {
                bridge br1
            }
            description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }   
    ethernet eth1 {
        description "eth1 ONT (FIBRE RJ45)"
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description "eth1.832 (INTERNET + VOIP + CANAL 2)"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox4&quot;;"
                client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:XXX:X;"
                client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
                default-route update
                default-route-distance 210
             global-option "option rfc3118-auth code 90 = string;"
                name-server update
            }
            egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
        }
        
        vif 840 {
            bridge-group {
                bridge br1
            }
            description "eth1.840 (ZAPPING + CANAL 1)"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {         
        address 192.168.2.1/24
        description LAN
        duplex auto 
        speed auto
    }
    ethernet eth3 {
        disable
        duplex auto
        speed auto
    }
    ethernet eth4 {
        disable
        duplex auto
        speed auto
    }
    loopback lo {
    }
   
       switch switch0 {
        address 192.168.5.1/24
        description Local
        mtu 1500
        switch-port {
            interface eth3 {
            }
            interface eth4 {
            }
            vlan-aware disable
        }
    }
   
}
protocols {
    static {
        route6 ::/0 {
            next-hop fe80::ba0:bab {
                interface eth1.832
            }
        }
    }
}
service {
    dhcp-server {
        disabled false
        global-parameters "option rfc3118-auth code 90 = string;"
        global-parameters "option SIP code 120 = string;"
        global-parameters "option Vendor-specific code 125 = string;"                                                 
        hostfile-update disable
        shared-network-name LAN {
            authoritative disable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 8.8.8.8
                dns-server 8.8.4.4
                lease 86400
                             
                start 192.168.2.3 {
                    stop 192.168.2.50
                }
            }
        }
        shared-network-name LIVEBOX {
            authoritative enable
            subnet 192.168.1.0/24 {
                default-router 192.168.1.254
                dns-server 81.253.149.9
                dns-server 80.10.246.1
                domain-name orange.fr
                lease 86400
                             
                start 192.168.1.30 {
                    stop 192.168.1.50
                }
                subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
                subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
           subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"

            }
      }
        use-dnsmasq disable
    }
    dns {
    }
    gui {
        http-port 80
        https-port 443
        listen-address 192.168.2.1
        older-ciphers enable
    }
    nat {
        rule 5001 {
            description "MASQ: WAN"
            log disable
            outbound-interface eth1.832
         protocol all
            type masquerade
        }
    }
    ssh {
        listen-address 192.168.2.1
        port 22
        protocol-version v2
    }
    upnp2 {
        listen-on eth0.832
      listen-on eth2           
        nat-pmp enable
        secure-mode disable
        wan eth1.832
    }
}
system {
    config-management {
        commit-revisions 50
   }
    login {
        user ubnt {
            authentication {
                encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
            }
            level admin
        }
    }
    name-server 8.8.8.8
    name-server 8.8.4.4
    name-server 208.67.222.222
    name-server 208.67.220.220                       
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
       offload {
        hwnat disable
        ipsec enable
      }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Paris
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.7.5127989.181001.1227 */

Merci

pascal9 · « **Réponse #117 le:** 24 décembre 2020 à 12:21:22 »

bonjour
je ne suis pas expert, donc pas capable de dégoguer, par contre je peux repréciser ma config, qui fonctionne.

Pour la TV via un switch, comme expliqué par pinomat, il faut un switch managé pour faire la CoS:
https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/
sinon cela ne fonctionne pas.

Comme je n'ai pas de switch managé, j'ai branché la TV directement sur l'ERx:
"eth0 - Livebox"
"eth1 - ONT"
"eth2 - LAN"
"eth3 - TV"

A noter les mises à jour effectuées sur l'ER
Update release: v2.0.8-hotfix
Update the bootloader version: e55_002_4c817

La config non nettoyée correspondante se trouve là:
https://lafibre.info/remplacer-livebox/tutot-er4-v2-0-8-ipv6-tv-et-tel-derriere-livebox/msg808001/#msg808001
(il faut enlever toutes les spécificités avant import ou juste regarder les commandes à reprendre)

Ma config actuelle a le LAN sur le switch0, ce qui permet d'avoir plusieurs ports avec le LAN comme sur un switch

Bon courage

pinomat · « **Réponse #118 le:** 25 décembre 2020 à 20:37:13 »

Citation de: SimonG85 le 23 décembre 2020 à 15:43:30

Ma config :
ETH 1 : ONT
ETH 2 : LAN + Switch avec Décodeur

Bonsoir @SimonG85,

Il manque au moins dans la configuration du routeur l'igmp-proxy : Tu devrais avoir un upstream (eth1.840) et un downstream (eth2). Il faut aussi activer sur ton switch l'gmp snooping.

Donc tu utilises la Livebox pour la VoIP ? Tu peux chercher des explications sur mon tuto https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/

zoc · « **Réponse #119 le:** 26 décembre 2020 à 05:43:54 »

Citation de: pinomat le 25 décembre 2020 à 20:37:13

Il manque au moins dans la configuration du routeur l'igmp-proxy : Tu devrais avoir un upstream (eth1.840) et un downstream (eth2). Il faut aussi activer sur ton switch l'gmp snooping.

Non, même pas vu qu’il utilise un bridge du VLAN 840 entre le WAN et le eth0 sur lequel est la box. Le décodeur ne peut donc fonctionner que derrière la Livebox et pas en direct sur le routeur dans cette configuration. Configuration complètement obsolète depuis des années ceci dit puisqu’on a depuis longtemps remplacé ces bridges, qui désactivent l’accélération matérielle, par le proxy IGMP....

C’est un peu le problème de 90% des tutos du forum... Pas maintenus et pour la plupart devenus incorrects.