La Fibre
Datacenter et équipements réseaux => Routeurs => Remplacer la LiveBox par un routeur => Discussion démarrée par: Lyrca le 21 juillet 2020 à 21:23:14
-
Bonjour,
Ce qui suit n'est rien de plus qu'une compilation d'infos que j'ai récupéré ici et là sur ce forum. Je n'ai rien inventé et ne prétend certainement pas comprendre tous les détails.
Ce qui suit a été mis en place avec succès sur un ER4 avec un ONT, une Livebox 5 et un décodeur UHD. Le firmware utilisé est le 2.0.8 hotfix 1.
Je ne prétends en aucun cas que c'est la meilleure manière de faire. L'idée étant d'aider des personnes à mettre en place une configuration fonctionnelle tout en améliorant celle-ci.
Ceci devrait vous permettre d'avoir :
- l'IPv4 + l'IPv6
- La téléphonie à partir de la Livebox
- Le décodeur derrière le switch
La connectique se fait de la manière suivante :
- ONT sur eth1
- Livebox port 4 sur eth0
- LAN sur eth2
VLAN 832 pour le net et la VoIP
VLAN 840 pour la TV
EDIT : MAJ 30/07/2020
- Plus de bridge
- Le décodeur se connecte sur le switch et non plus sur la Livebox
La mise en place se fait en 2 étapes :
I / Mise en place des fichiers sur l'ER :
1 / Copier le fichier dhclient3.prio6.edgeos2 ci-joint dans /sbin de l'ER4
- sudo mv dhclient3 dhclient3.ori ; sudo mv dhclient3.prio6.edgeos2 dhclient3
- Changer le owner et groupe à root : sudo chown root:root dhclient3
- Changer les droits : sudo chmod 755 dhclient3
2 /
- sudo vi /etc/systemd/system/dhclient6.service
#/etc/systemd/system/dhclient6.service
[Unit]
Description=dhclient for sending IPv6 DUID
After=network.target
[Service]
Type=forking
ExecStartPre=/config/scripts/generate_dhcpv6_configfile.sh
ExecStart=/sbin/dhclient -6 -P -nw -cf /etc/dhcp3/dhclient6_eth1_832.conf -pf /var/run/dhclient6_eth1_832.pid -lf /var/run/dhclient6_eth1_832.leases eth1.832
NonBlocking=yes
Restart=always
RestartSec=60
[Install]
WantedBy=multi-user.target
- sudo systemctl daemon-reload ; sudo systemctl enable dhclient6
3 /
- sudo vi /config/scripts/generate_dhcpv6_configfile.sh
#!/bin/bash
# Place in /config/scripts/generate_dhcpv6_configfile.sh
target_file="/etc/dhcp3/dhclient6_eth1_832.conf"
interface="eth1"
vif="832"
auth_string=$(/bin/cli-shell-api showCfg interfaces ethernet $interface vif $vif dhcp-options client-option | grep "send rfc3118-auth" | awk '{ print $4 }' | awk -F ";" '{print $1}')
mac_livebox=$(/bin/cli-shell-api showCfg interfaces ethernet $interface vif $vif dhcp-options client-option | grep "dhcp-client-identifier" | awk '{ print $4 }' | awk -F ";" '{print $1}')
read -r -d '' conffile <<EOF
# $target_file\n
option dhcp6.auth code 11 = string;\n
option dhcp6.vendorclass code 16 = string;\n
option dhcp6.userclass code 15 = string;\n
\n
#External interface (VLAN must be 832 for Orange)\n
interface "eth1.832" {\n
\t#Orange France specific options\n
\tsend dhcp6.vendorclass 00:00:04:0e:00:05:73:61:67:65:6d;\n
\tsend dhcp6.userclass 00:2b:46:53:56:44:53:4c:5f:6c:69:76:65:62:6f:78:2e:49:6e:74:65:72:6e:65:74:2e:73:6f:66:74:61:74:68:6f:6d:65:2e:6c:69:76:65:62:6f:78:34;\n
\tsend dhcp6.vendor-opts 00:00:05:58:00:06:00:0e:49:50:56:36:5f:52:45:51:55:45:53:54:45:44;\n
\n
\t#Authentication for Orange France DHCP server (same value as for DHCPv4)\n
\tsend dhcp6.auth $auth_string;\n
\n
\tsend dhcp6.client-id 00:03:00:$mac_livebox;\n
\n
\trequest dhcp6.name-servers, dhcp6.vendorclass, dhcp6.userclass, dhcp6.auth;\n
}\n
EOF
echo -e $conffile > $target_file
- sudo chmod +x /config/scripts/generate_dhcpv6_configfile.sh
4 /
- sudo vi /config/scripts/post-config.d/setDHCPv6COSto6.sh
#!/bin/bash
## Place in /config/scripts/post-config.d/setDHCPv6COSto6.sh
/sbin/ip6tables -t mangle -F
/sbin/ip6tables -t mangle -I POSTROUTING -p udp --sport dhcpv6-client --dport dhcpv6-server -j CLASSIFY --set-class 0:6
exit 0
- sudo chmod +x /config/scripts/post-config.d/setDHCPv6COSto6.sh
5 /
- sudo vi /etc/dhcp3/dhclient-exit-hooks.d/dhclient-ipv6
# Interfaces that should obtain a /64 prefix
IPV6_INTERFACES=(eth2)
INT_ADDRESS="::1"
###
ipv6_prefix_setup() {
# $1 is the ethernet interface
# $2 is the suffix to use
ethiface=$1
suffix=$2
current_ip=$(ip -6 addr show dev $ethiface scope global | awk '/inet6/ {print $2}' | grep -v '^fd' )
current_prefix=$(echo $current_ip | sed -e 's@::.*/64@::/64@')
# To generate new IP, need to take new prefix, add 8 bits
new_ip=$( echo $new_ip6_prefix | sed -e 's/00::\/.*//g' )
new_ip="$new_ip$suffix"
if [ "$new_ip" != "$current_ip" ]
then
if [ "$current_ip" != "" ]
then
/sbin/ip -6 addr delete "$current_ip" dev $ethiface
fi
/sbin/ip -6 addr add "$new_ip" dev $ethiface
fi
}
case "$reason" in
BOUND6|REBIND6)
# We will get called twice here - once for the temp address
# and once for the prefix. We only care about the prefix.
if [ ! -z "$new_ip6_prefix" ] ; then
for interface in "${IPV6_INTERFACES[@]}"
do
suffix=$( echo ${interface} | /usr/bin/md5sum | awk '{ print substr($1,3,2) }' )
suffix="$suffix$INT_ADDRESS/64"
ipv6_prefix_setup ${interface} $suffix
done
/bin/systemctl restart radvd.service >/dev/null 2>&1
fi
;;
esac
- sudo chmod +x /etc/dhcp3/dhclient-exit-hooks.d/dhclient-ipv6
II / Configuration de config.boot :
Modifier le fichier suivant :
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WANv6 inbound traffic forwarded to LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WANv6 inbound traffic to the router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-name WANv6_OUT {
default-action accept
description "WANv6 outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
description "WAN outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description "eth0 - Livebox"
duplex auto
speed auto
vif 832 {
address 192.168.30.1/24
description "eth0.832 - Internet + VoIP"
}
}
ethernet eth1 {
description "eth1 - ONT"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 - Internet + VoIP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 01:YY:YY:YY:YY:YY:YY;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication, domain-search, SIP-servers, Vendor-Specific-Information;"
client-option "send rfc3118-authentication XX:XX:XX:XX...;"
default-route update
default-route-distance 210
global-option "option rfc3118-authentication code 90 = string;"
global-option "option SIP-servers code 120 = string;"
global-option "option Vendor-Specific-Information code 125 = string;"
name-server no-update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
out {
ipv6-name WANv6_OUT
name WAN_OUT
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 840 {
address 192.168.40.1/24
description "eth1.840 - TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 - LAN"
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
vif 840 {
address 192.168.20.1/24
description "eth2.840 - TV"
mtu 1500
}
}
ethernet eth3 {
disable
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2.840 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
domain-name local
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.30.0/24 {
default-router 192.168.30.1
dns-server 80.10.246.134
dns-server 81.253.149.5
domain-name orange.fr
lease 86400
start 192.168.30.30 {
stop 192.168.30.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
shared-network-name TV {
authoritative disable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.20.30 {
stop 192.168.20.50
}
subnet-parameters "option Vendor-specific 00:00:0d:e9:28:04:06:46:38:30:38:34:46:05:0f:4c:4b:31:39:32:32:36:44:50:39:39:32:37:31:35:06:0d:4c:69:76:65:62:6f:78:20:46:69:62:72:65;"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 200
listen-on eth2
name-server 1.1.1.1
name-server 1.0.0.1
name-server 8.8.8.8
name-server 8.8.4.4
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
unms {
disable
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name local
host-name EdgeRouter
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1641 */
En remplaçant :
- YY:YY:YY:YY:YY:YY : Mac Livebox
- XX:XX:XX:XX:XX:XX.... : La valeur calculée par https://jsfiddle.net/kgersen/3mnsc6wy/
- Ne pas oublier de marquer le port sur votre switch avec le VLAN 840 pour le décodeur et d'activer l'IGMP snooping
Nommer le fichier new.config.boot et le copier sur l'ER dans /tmp puis ;
configure
load /tmp/new.config.boot
commit
save
Pour vous connecter à l'ER: ubnt/ubnt
Voici ce que cela donne:
(https://www.speedtest.net/result/d/209427924.png)
Merci à tous les contributeurs qui m'ont permis de mettre en place cette configuration : fttmeh, zoc, kgersen, nanostra et aux autres que j'ai pu oublier.
Merci pour vos retours.
-
VLAN 838 et 840 pour la VoIP et TV
bonjour,
le vlan838 n'est plus utilisé en dhcp. juste 832 pour internet et téléphonie, et 840 pour la tv. :)
Jerem
-
Le seul truc qui est à jour dans son tuto c’est la partie IPv6 avec dhclient.
Tout le reste (VLAN 838, bridges) est dépassé depuis 2 ans au moins.
Maintenant c’est mieux que rien, je n’ai plus assez de temps pour refaire un tuto en repartant d’une feuille blanche, d’autant plus que je ne peux pas vraiment partir de ma configuration actuelle (zone based firewall, pleins de VLANs, OSPF et RIPng entre autre).
-
Merci pour vos retours.
Pour le VLAN 838 je pensais qu'il était toujours utilisé car il remonte toujours dans les infos de l'interface de configuration de la Livebox.
En effet c'est bien le VLAN 832 pour la téléphonie, là encore indiqué dans la config de la Livebox.
Comme dit précédemment je n'ai pas la prétention de proposer une configuration optimale mais plutôt quelque chose pouvant être amené à être améliorée au travers des différentes contributions.
-
Pour le VLAN 838 je pensais qu'il était toujours utilisé car il remonte toujours dans les infos de l'interface de configuration de la Livebox.
Je t'ai indiqué dans ce message (https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg777412/#msg777412) ce qu'il fallait faire pour la TV et la VoD.
Je n'ai pas craché les lignes de configuration car je pense qu'il est important de comprendre ce qui doit être fait plutôt que de suivre un tutoriel tout fait.
je n’ai plus assez de temps pour refaire un tuto en repartant d’une feuille blanche
Un tutoriel en front page avec quelques explications, c'est effectivement ce qui manque. Les informations sont là sur ce forum, mais noyées dans des pages et des pages... :'(
Je me suis replongé dans les messages pour obtenir une configuration fonctionnelle pour la TV (j'ai finalement pris l'option TV chez Sosh), et cela s'apparente plutôt à de l'archéologie. ;D
Pour être transparent, je me suis basé sur le tuto Mikrotik pour faire ma configuration car je ne trouvais pas mon bonheur pour la configuration avec Edgerouter (confs avec bridge obsolètes, etc.).
La prochaine étape de mon côté sera d'automatiser la configuration après un upgrade, mais c'est bien difficile de s'y replonger après tout ce temps.
-
Je t'ai indiqué dans ce message (https://lafibre.info/remplacer-livebox/en-cours-remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax/msg777412/#msg777412) ce qu'il fallait faire pour la TV et la VoD.
Je n'ai pas craché les lignes de configuration car je pense qu'il est important de comprendre ce qui doit être fait plutôt que de suivre un tutoriel tout fait.
Je le répète je n'ai fait que compiler les informations disponibles sur ce forum en prenant le temps de les comprendre dans un premier temps. Pour ce qui est des améliorations dont je suis conscient qu'elles existent je mettrai ce topic à jour avec le temps. Mon objectif premier était d'avoir quelque chose de fonctionnel.
J'ai publié les informations récoltées ici et là afin que d'autres personnes n'aient pas à effectuer le travail de recherche que j'ai fait, ceci n'est qu'une base imparfaite et est présentée comme telle dès le premier post.
Je viens de jeter un oeil ce midi :
J'ai retiré le bridge correspondant au VLAN 838 ainsi que ce dernier.
Si je garde un bridge br0 pour le VLAN 840, pas de soucis je peux utiliser le décodeur derrière la Livebox.
Par contre sans ce bridge pas d'image, j'imagine alors qu'il faudra configurer l'IGMP proxy.
Je n'utilise actuellement pas le décodeur mais lorsque je mettrai la procédure à jour je ferai l'essai avec l'IGMP proxy.
Vous me confirmez que pour mettre en place l'IGMP proxy il faut que les deux interfaces eth1.840 et eth0.840 aient une IP ?
Merci
-
Oui, igmpproxy requiert que les interfaces upstream et downstream aient une adresse IP.
Maintenant, personne ne met le décodeur derrière la livebox, puisqu’il fonctionne très bien connecté directement au routeur pour peu que igmpproxy soit activé et que le serveur DHCP du routeur envoie les bonnes options...
-
bonjour,
serait-il possible d'avoir la config radvd.conf svp ?
au moins le template peut-être ?
merci.
-
re-bonjour,
sur ce tuto : https://vincent.bernat.ch/fr/blog/2019-orange-livebox-linux
on voit que le vlan 832 est monté en QOS 0:0 6:6 (egress-qos-map 0:0 6:6).
hors ci-dessous, on applique 5:5 6:6 (egress 5:5 6:6).
pourquoi ?
laquelle est la bonne ?
merci.
-
La version de Vincent Bernat est la bonne. L'autre a des effets secondaires ennuyeux (indisponibilité de services tiers en VOIP SIP, chez OVH par exemple). 0:0 6:6 est la configuration qui pose le moins de problèmes (même si elle en pose tout de même avec certains clients SFTP et qui se traduit par un débit limité pour ces clients).
Pour raddvd.conf, je ne pense pas que mon template te serve à quelque chose vu qu'il est adapté à mon réseau et au script qui le traite
interface eth3.69 {
IgnoreIfMissing on;
AdvSendAdvert on;
AdvOtherConfigFlag off;
AdvDefaultLifetime 1800;
AdvLinkMTU 0;
AdvCurHopLimit 64;
AdvReachableTime 0;
MaxRtrAdvInterval 600;
MinRtrAdvInterval 198;
AdvDefaultPreference medium;
AdvRetransTimer 0;
AdvManagedFlag off;
prefix ${PREFIX1}69::/64 {
AdvPreferredLifetime 14400;
AdvAutonomous on;
AdvOnLink on;
AdvValidLifetime 18000;
};
prefix fd00:dead:babe:0069::/64 {
AdvPreferredLifetime 14400;
AdvAutonomous on;
AdvOnLink on;
AdvValidLifetime 18000;
};
};
interface eth3.70 {
IgnoreIfMissing on;
AdvSendAdvert on;
AdvOtherConfigFlag off;
AdvDefaultLifetime 1800;
AdvLinkMTU 0;
AdvCurHopLimit 64;
AdvReachableTime 0;
MaxRtrAdvInterval 600;
MinRtrAdvInterval 198;
AdvDefaultPreference medium;
AdvRetransTimer 0;
AdvManagedFlag off;
prefix ${PREFIX1}70::/64 {
AdvPreferredLifetime 14400;
AdvAutonomous on;
AdvOnLink on;
AdvValidLifetime 18000;
};
prefix fd00:dead:babe:0070::/64 {
AdvPreferredLifetime 14400;
AdvAutonomous on;
AdvOnLink on;
AdvValidLifetime 18000;
};
};
interface eth3.68 {
IgnoreIfMissing on;
AdvSendAdvert on;
AdvOtherConfigFlag off;
AdvDefaultLifetime 1800;
AdvLinkMTU 0;
AdvCurHopLimit 64;
AdvReachableTime 0;
MaxRtrAdvInterval 600;
MinRtrAdvInterval 198;
AdvDefaultPreference medium;
AdvRetransTimer 0;
AdvManagedFlag off;
prefix ${PREFIX1}68::/64 {
AdvPreferredLifetime 14400;
AdvAutonomous on;
AdvOnLink on;
AdvValidLifetime 18000;
};
prefix fd00:dead:babe:0068::/64 {
AdvPreferredLifetime 14400;
AdvAutonomous on;
AdvOnLink on;
AdvValidLifetime 18000;
};
};
interface eth3.66 {
IgnoreIfMissing on;
AdvSendAdvert on;
AdvOtherConfigFlag on;
AdvDefaultLifetime 1800;
AdvLinkMTU 0;
AdvCurHopLimit 64;
AdvReachableTime 0;
MaxRtrAdvInterval 600;
MinRtrAdvInterval 198;
AdvDefaultPreference medium;
AdvRetransTimer 0;
AdvManagedFlag off;
prefix ${PREFIX1}66::/64 {
AdvPreferredLifetime 14400;
AdvAutonomous on;
AdvOnLink on;
AdvValidLifetime 18000;
};
prefix fd00:dead:babe:0066::/64 {
AdvPreferredLifetime 14400;
AdvAutonomous on;
AdvOnLink on;
AdvValidLifetime 18000;
};
RDNSS fd00:dead:babe:66::50
{
AdvRDNSSLifetime 600;
};
};
le fichier final étant généré depuis mon hook dibbler comme ça (qui exporte la variable ${PREFIX1} contenant le /56:
# Generate RADVD configuration
template_str=$(cat /config/templates/radvd.conf)
eval "echo \"${template_str}\"" > /etc/radvd.conf
PS: Oui, j'annonce 2 préfixes dans chaque LAN, dont un dans la plage d'adresses ULA (juste pour avoir des IPv6 qui ne changent jamais dans mon serveur DNS local si le préfixe d'Orange change).
-
ok merci.
Mais l'idée d'utiliser des cgroups n'est pas une mauvaise idée, simplement en utilisant 0:0 6:6 ?
-
Si tu peux faire des cgroups alors c'est la solution ultime car seuls tes clients DHCP seront impactés. On n'en parle pas dans ce fil car le firmware de l'ER4 ne dispose pas du module cgroups net_prio malheureusement...
En fait si tu fais un cgroup net_prio alors le plus simple c'est vraiment de mettre 0:6 1:6 2:6 3:6 4:6 5:6 6:6 pour le groupe dont dhclient fera partie. Comme ca tu es certain d'avoir toujours la bonne priorité et tu n'as pas besoin d'un dhclient patché...
-
ok merci,
voici le script que je vais utiliser, si tu as des remarques, n'hésite pas ;)
#!/bin/sh
iface="enp0s20f3"
if ip link show dev orange >/dev/null 2>&1 ; then
echo "deleting and re-creating and re-creating orange interface !"
ip link del orange
else
echo "creating orange interface"
fi
ip link add link $iface name orange type vlan id 832 egress-qos-map 0:0 6:6
ip -d link show dev orange
cgcreate -g net_prio:dhcp-orange
cgset -r "net_prio.ifpriomap=orange 6" dhcp-orange
cgexec -g net_prio:dhcp-orange --sticky -- dhclient -4 -cf /etc/dhcp/orange.conf -pf /run/dhclient@orange4.pid orange
cgexec -g net_prio:dhcp-orange --sticky -- dhclient -6 -cf /etc/dhcp/orange.conf -pf /run/dhclient@orange6.pid -P -D LL orange
après, il y a l'exit-hook bien sûr.
-
Bonjour,
Le tuto a été mis à jour afin de retirer le bridge et pouvoir brancher le décodeur derrière un switch.
Merci
-
Merci pour le tuto à jour. J'ai finalement réussi à avoir l'ipv6. Toutefois, j'ai eu quelques problèmes:
- la commande sudo systemctl enable n'est pas complète, j'imagine que c'est: sudo systemctl enable dhclient6.service
- Au démarrage, le routeur n'arrive à obtenir une ipv6. En regardant le fichier conf généré, j'ai remarqué que le auth_string et mac_livebox sont vides. J'ai du relancer à la main les 2 scripts dhclient6.service et dhclient-ipv6 pour avoir une ipv6. Je ne sais pas pourquoi.
En tout cas, ça fonctionne pour moi.
-
Merci pour ton retour.
J'ai corrigé la commande pour lancer le service, en effet un morceau s'était perdu !
Content que tout fonctionne pour toi. ;)
-
1 / Copier le fichier dhclient3.prio6.edgeos2 ci-joint dans /sbin de l'ER4
- sudo mv dhclient3 dhclient3.ori ; sudo mv dhclient3.prio6.edgeos2 dhclient3
- Changer le owner et groupe à root : sudo chown root:root dhclient3
- Changer les droits : sudo chmod 755 dhclient3
Quellles version du patch/diff utilises tu? tu as un lien vers celui-ci?
-
Bonsoir,
J'utilise la version pacthé pour la branche 2.X. Je ne saurais plus te retrouver le post avec le fichier ni l'auteur. Par contre j'ai attaché une copie du fichier au premier post.
-
Bonsoir,
J'utilise la version pacthé pour la branche 2.X. Je ne saurais plus te retrouver le post avec le fichier ni l'auteur. Par contre j'ai attaché une copie du fichier au premier post.
ah je cherche un moyen de le recompiler. Merci en ts cas
-
Tu trouvera les sources ici : https://www.ui.com/download/edgemax/edgerouter-4/default/edgerouter-er-4er-6per-12er-12p-firmware-v208-hotfix1 (lien Download GPL archive).
zoc avait publié une fichier .patch mais cela concernait la branche 1.x
Edit: @benoitc j'ai vu sur les forums Ubiquiti que quelqu'un avait posé la question pour assigner une priorité aux paquets 802.1p, j'ai également appuyé la demande avant de m'apercevoir que c'était toi ;). Cela serait top si ça pouvait se faire
-
dans ton fichier config.boot
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
à rajouter ?
-
Merci c'est mis à jour. ;)
-
super :D
J'ai adapté ton script pour mon Elite 3 ... (ETH0 lan, ETH1 le WAN) ... également avec le tuto de pinomat (https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/)
Il y a aussi un pb sur le service dhclient6, le fichier est parfois également à vide (comme signalé par nht)
Merci pour le tuto à jour. J'ai finalement réussi à avoir l'ipv6. Toutefois, j'ai eu quelques problèmes:
../..
- Au démarrage, le routeur n'arrive à obtenir une ipv6. En regardant le fichier conf généré, j'ai remarqué que le auth_string et mac_livebox sont vides. J'ai du relancer à la main les 2 scripts dhclient6.service et dhclient-ipv6 pour avoir une ipv6. Je ne sais pas pourquoi.
En tout cas, ça fonctionne pour moi.
.
J'ai modifié le service et lancé le script de génération (/config/scripts/generate_dhcpv6_configfile.sh) la première fois à la main.
[Unit]
Description=dhclient for sending DUID IPv6
Before=network.target auditd.service vyatta-router.service netplug.service
[Service]
Type=forking
ExecStart=/sbin/dhclient -6 -P -nw -cf /etc/dhcp3/dhclient6_eth1_832.conf -pf /var/run/dhclient6_eth1_832.pid -lf /var/run/dhclient6_eth1_832.leases eth1.832
NonBlocking=yes
Restart=always
RestartSec=60
[Install]
WantedBy=multi-user.target
Peut être préciser de faire reboot ? pour l'ipV6
mon fichier config.boot pour les utilisateurs sous ERLITE3 (je n'utilise que le 832 ... ) Eth0 : LAN et eth1 pour le WAN
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WAN inbound traffic forwarded to LAN"
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action accept
description "allow ICMPv6"
protocol ipv6-icmp
}
rule 30 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WAN inbound traffic to the router"
rule 10 {
action accept
description "Allow established/related sessions"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow IPv6 icmp"
protocol ipv6-icmp
}
rule 40 {
action accept
description "Allow dhcpv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-name WANv6_OUT {
default-action accept
description "WANv6 outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 2 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
description "WAN outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
address 192.168.1.1/24
description LAN
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
}
ethernet eth1 {
description WAN
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 Internet"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:03:41:01:0d:66:74:69:2f:xx:xx:xx:xx:xx:xx:xx:3c:12:7c:68:55:78:21:78:2e:75:30:60:36:33:37:40:73:67:03:13:3c:0a:12:10:32:52:73:be:72:5f:8f:21:a5:74:02:02:c0;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 1:yy:yy:yy:yy:yy:yy;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth, domain-search;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
out {
ipv6-name WANv6_OUT
name WAN_OUT
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 840 {
address 192.168.255.254/32
description "eth1.840 TV - Multicast"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.3.1/24
description LAN2
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
disable-quickleave
interface eth0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface eth1 {
role disabled
threshold 1
}
interface eth1.832 {
role disabled
threshold 1
}
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
hostfile-update disable
shared-network-name LAN_ETH0_DHCP {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.1
dns-server 192.168.1.1
lease 86400
ntp-server 192.168.1.1
start 192.168.1.100 {
stop 192.168.1.200
}
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 1024
listen-on lo
listen-on eth0
listen-on eth2
name-server 80.10.246.3
name-server 81.253.149.10
name-server 1.1.1.1
name-server 1.0.0.1
name-server 8.8.8.8
name-server 8.8.4.4
}
}
gui {
http-port 80
https-port 443
listen-address 192.168.1.1
listen-address 192.168.3.1
older-ciphers enable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.1.1
listen-address 192.168.3.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0
nat-pmp enable
port 34651
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 5
}
conntrack {
expect-table-size 4096
hash-size 4096
table-size 32768
tcp {
half-open-connections 512
loose disable
max-retrans 3
}
}
host-name ubnt
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 127.0.0.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level warning
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi enable
export enable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8.5247496.191120.1124 */
Pensez a modifier le fichier : - sudo vi /etc/dhcp3/dhclient-exit-hooks.d/dhclient-ipv6
IPV6_INTERFACES=(eth2) en IPV6_INTERFACES=(eth0)
ubnt@ubnt:~$ show version
Version: v2.0.8-hotfix.1
Build ID: 5278088
Build on: 03/05/20 16:40
Copyright: 2012-2019 Ubiquiti Networks, Inc.
HW model: EdgeRouter Lite 3-Port
-
qqn aurait la configuration en ligne de commande plutoto que de passer par un fichir de boot? Je suis en train de chercher sur le forum mais si vous avez un lien cela pourrait aller plus vite :)
-
https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/ (très ressemblant ...)
sans les tags et les DHCP car switch en amont... ::)
-
https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/ (très ressemblant ...)
sans les tags et les DHCP car switch en amont... ::)
merci! exactement ce que je cherchais.
-
je me demande si l'egress-qos ne desactive pas l'offload. Perso en la retirant ainsi que la gestion de la CoS qui ne semble pas nécessaire chez moi je suis de retour à un 940 Gbps symetrique (orange pro). Je ne sais pas pourqupi je n'ai pas beoin de CoS ceci-dit... Peut-être parce que c'est opéré par SFR?
-
Non, egress-qos ne désactive pas l’offload.
Et SFR n’a rien à voir dans l’histoire, tu ne passes par aucun équipement appartenant à SFR en étant client Orange. Orange a probablement des équipements différents selon les régions (déjà ils utilisent plusieurs marques d’OLT), ce qui peut expliquer le comportement différent sans QoS.
Donc si ça marche sans QoS alors c’est une bonne nouvelle puisque pas besoin de client dhcp patché ni de egress-qos du tout donc pour IPv4 l’ER4 peut être utilisé sans modification firmware.
Sinon, 940 Gbps, chapeau, sacrée connexion ;D
-
Non, egress-qos ne désactive pas l’offload.
Et SFR n’a rien à voir dans l’histoire, tu ne passes par aucun équipement appartenant à SFR en étant client Orange. Orange a probablement des équipements différents selon les régions (déjà ils utilisent plusieurs marques d’OLT), ce qui peut expliquer le comportement différent sans QoS.
Donc si ça marche sans QoS alors c’est une bonne nouvelle puisque pas besoin de client dhcp patché ni de egress-qos du tout donc pour IPv4 l’ER4 peut être utilisé sans modification firmware.
Sinon, 940 Gbps, chapeau, sacrée connexion ;D
damned oui ... 940 Mbps ... (note à moi même: ne pas poster fatigué). Sinon ça varie un peu mais cela reste stable. Copie avec speednet mais ubiquiti me retourne les memes perfs.
Mais du coup je me demande comment fonctionne la livebox si en fonction des régions ou zones il ya de la qos ou pas.... Ca complique "légèrement" leur infra..
-
La box applique tout le temps la QoS. Là où ce n'est pas nécessaire elle est tout simplement ignorée par l'infra.
-
La box applique tout le temps la QoS. Là où ce n'est pas nécessaire elle est tout simplement ignorée par l'infra.
heh, c'est en effet plus simple...
-
Salut,
Merci pour la config, je l'ai utilisée en partie pour faire la mienne sur EdgeRouter X et ça marche très bien.
En revanche je n'ai pas encore implémenté l'IPv6, ce que j'aimerais bien faire. Je me demandais, est-ce qu'il y a une raison précise qui fait qu'on doit passer par des scripts ?
-
Oui, la raison c’est que le client DHCP6-PD du routeur est incompatible avec Orange et que donc celui qu’on utilise à la place ne peut pas être configuré à partir du fichier de configuration classique.
-
Pour info j'ai testé cette configuration avec le firmware 2.0.9-rc2, cela fonctionne. Je suis néanmoins repassé sur la 2.0.8 hotfix1 car elle tourne depuis quelques mois sans soucis.
-
Bonjour,
Quelqu'un pourrait m'aider à un peu mieux comprendre le script pour l'adressage IPV6 ?
Comment faire lorsque l'on a plusieurs vlan.
Comment changer l'index des sous reseaux entre les bits 56 et 64 ?
On dirait que c'est fixe sur le script et qu'il met 00:: :
new_ip=$( echo $new_ip6_prefix | sed -e 's/00::\/.*//g' )
Par exemple pour mes vlan 10 20 et 30 j'aurai bien aimé pouvoir mettre 10:: 20:: et 30::.
Sous le firmware 1.10, j'avais modifié le "radvd" un peu en mode bourrain en rajoutant mes 5 configurations de vlan "a la main". Dans le cas ici, la modifiction du script parait plus compliquée.
Merci d'avance pour l'aide apportée
-
Quelqu'un pourrait m'aider à un peu mieux comprendre le script pour l'adressage IPV6 ?
Comment faire lorsque l'on a plusieurs vlan.
Comment changer l'index des sous réseaux entre les bits 56 et 64 ?
Hello,
Je ne vais pas détailler comment cela fonctionne car je ne me rappelle plus exactement (je préfère ne rien dire que dire des conneries). J'ai fait un script maison (basé sur ce que j'avais trouvé sur le forum) qui permet de gérer les préfixes IPv6 pour des VLAN. Je l'avais testé à l'époque et cela fonctionnait.
Il faut spécifier les
Le génère le fichier de configuration radvd et redémarre le service.
Il y a peut-être un peu plus d'explication dans mon vieux tuto : https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/ (https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/)
-
Hello,
Je ne vais pas détailler comment cela fonctionne car je ne me rappelle plus exactement (je préfère ne rien dire que dire des conneries). J'ai fait un script maison (basé sur ce que j'avais trouvé sur le forum) qui permet de gérer les préfixes IPv6 pour des VLAN. Je l'avais testé à l'époque et cela fonctionnait.
Il faut spécifier les
Le génère le fichier de configuration radvd et redémarre le service.
Il y a peut-être un peu plus d'explication dans mon vieux tuto : https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/ (https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/)
Hum effectivement, je n'avais vu le script de ce post (en pièce jointe).
Vu le script, je ne peux qu’espérer que ça fonctionne (je pense pas pouvoir changer quoi que ce soit).
Cela dit, merci pour cette bonne base, à essayer dès que possible.
-
Bonjour,
je suis un peu novice donc certaines de mes questions pourront paraître triviales... donc les réponses faciles ;-)
J'ai suivi le modop du début du tuto sans faire l'installation du dhclient3.prio6.edgeos2 car j'ai lu que cela n'était plus nécessaire:
23/08/2020 https://lafibre.info/remplacer-livebox/tutot-er4-v2-0-8-ipv6-tv-et-tel-derriere-livebox/msg785977/#msg785977 (https://lafibre.info/remplacer-livebox/tutot-er4-v2-0-8-ipv6-tv-et-tel-derriere-livebox/msg785977/#msg785977)
J'ai ensuite fait le branchement décrit
- ONT sur eth1
- Livebox port 4 sur eth0
- LAN sur eth2
Et rien ne fonctionne !
Quelques questions:
1/ Je suis partie d'un EdgeRouteur non configuré (juste patché en 2.0.8 hotfix 1): aurait-il fallu faire une autre config d'abord?
2/ Quand on a tout branché et que ça ne fonctionne pas, comment on peut faire un diagnostic ; le ça ne fonctionne pas = je n'ai pas de réseau local, donc je ne peux pas savoir si j'ai accès à internet. Je ne peux donc pas me connecter au EdgeRouteur ; il y a un port console...?
3/ J'ai un EdgeRouter 10x ; faut-il adapter qqch au modop?
Merci d'avance pour vos conseils
-
Où est-ce que j’ai dit que le client DHCP patché n’était plus nécessaire dans le message du lien ? ???
J’ai juste dit que dans certaines régions il n’est pas nécessaire, et ne la jamais été d’ailleurs. Ça n’a pas évolué et là où c’était nécessaire avant ça l’est toujours.
Il y a évidemment un port console (il suffit de lire les noms des ports sur le routeur pour s’en rendre compte...) mais il faudra bien évidemment un câble console pour pouvoir l’utiliser.
-
Bonjour
merci pour ce retour,
pour le patch, j'ai lu sur le message de Zoc que je cite plus haut du 23 août 2020 à 06:37:39 ; il est vrai qu'il y a un "si" devant...
Bon je vais patché pour voir!
Comme je ne vais pas pouvoir faire de nouveaux essais avant ce soir, ce serait sympa si quelqu'un pouvait donner quelques réponses sur les points suivants:
1/ Je suis parti d'un EdgeRouteur non configuré (juste patché en 2.0.8 hotfix 1): aurait-il fallu faire une autre config d'abord?
2/ Quand on a tout branché et que ça ne fonctionne pas, comment on peut faire un diagnostic?
3/ J'ai un EdgeRouter 10x ; faut-il adapter qqch au modop?
Merci d'avance!
-
1) non
2) câble console et comprendre ce que fait chaque ligne de la conf...
3) non, hormis adapter les noms des interfaces si les branchements ne sont pas les mêmes.
Attention, le client dhcp patché n’est pas le même selon que le firmware est de la série 1.10 ou 2.0
-
2/ Quand on a tout branché et que ça ne fonctionne pas, comment on peut faire un diagnostic?
Bonjour pascal9,
Il y a de nombreux points à vérifier, mais en résumant :
1) est-ce que tu peux joindre ton routeur (dans la config de lyrca c'est 192.168.10.1 je crois) --> Si non, vérifier la configuration DHCP et les adresses IP du routeur ainsi que la configuration de la carte réseau du PC connecté
2) est-ce que l'interface WAN du routeur reçoit bien une adresse IPv4 --> Si non, il faut vérifier la configuration de l'interface, c'est le plus complexe à analyser. Ca peut être la CoS, les paramètres DHCP envoyé à Orange, le VLAN...
3) Si les points 1 et 2 sont OK, il faut ensuite tester les DNS à partir du routeur ainsi que le routage (genre un sudo ping www.google.com à partir de la console ssh fait les deux) tu peux avoir un problème au niveau du firewall (par ex:masquerade non configuré) ou des DNS (par ex : DNS forwarding non configurés, DHCP mal configuré, ...).
Si je ne me trompe pas ce sont les principaux points à vérifier. Le mieux est de configurer le routeur point par point, déjà tu comprendras mieux ce que tu fais et ensuite, une fois qu'un élément est opérationnel, tu peux avancer...
Bon courage
-
Merci pinomat pour ce guide!
J'en suis au point 1 OK:
1) est-ce que tu peux joindre ton routeur (dans la config de lyrca c'est 192.168.10.1 je crois)
=> Ok en direct avec un PC qui reçu une adresse IP, et je peux me connecter sur l'ERx pour comprendre la config...
Je ne comprends pas ce que veut dire "Ne pas oublier de marquer le port sur votre switch avec le VLAN 840 pour le décodeur et d'activer l'IGMP snooping" du 1er post
Q1/ "marquer le port sur votre switch avec le VLAN 840 pour le décodeur" => fallait-il modifier qqch dans le config.boot proposé?
Q2/ "activer l'IGMP snooping" comment faire ? j'ai lu "The EdgeRouter is a router with a switch-port module and does not support advanced switching technologies such as IGMP snooping."...
-
Lyrca intercale un switch manageable entre le routeur et l'ONT afin de gérer la problématique de la CoS et éviter de devoir patcher le client DHCP. Donc pas franchement le bon tuto si on compte ne pas avoir la même architecture.
D'ailleurs son tuto se concentre sur IPv6, ce qui n'est pas vraiment la priorité quand on remplace la box par un routeur. Pour la partie IPv4 il n'y a quasiment aucune explication, et c'est pourtant la première étape: obtenir une IPv4. La TV, l'IPv6 et le téléphone sont vraiment secondaires.
Mais en même temps, il n'y a plus vraiment de tuto entièrement à jour sur le forum (et je n'ai clairement plus de temps à consacrer à ça, je ne suis d'ailleurs toujours pas passé aux firmware 2.0, même pour moi pas assez de temps libre).
-
Merci Zoc
je ferai un résumé quand j'aurais fini...
Effectivement je n'en suis pas encore à IPv6...
Pour le moment, j'ai internet via l'ER,
J'ai branché le câble Ethernet de l'ER vers l'entrée Fibre de la box (c'est n'était pas précisé)
Et la box dit que le téléphone est ok, j'ai testé ok
Le decodeur TV s'allume:
les chaines TV s'affichent en bas, mais pas en grand et pas de son :-(
le replay est ok avec le son
la VOD est ok aussi
Pour le moment, j'ai laissé le décodeur TV derrière la box
1/ pourquoi pas
2/ je ne sais pas sur quel port de l'ER la mettre ou alors directement sur un switch
Essai à poursuivre aussi
Je pense aussi changer le LAN de 10 en 1 pour ne pas avoir à changer certaines IP fixes qui existent déjà
Autre sujet sensible: je n'ai pas encore patché
-
Pour le moment, j'ai internet via l'ER,
...
Autre sujet sensible: je n'ai pas encore patché
Donc pas besoin de patcher si internet fonctionne sans.
-
tant mieux, mais la TV, c'est pas 100%
rien à voir avec le patch?
-
A ce stade, tout fonctionne (pas de test très poussés pour le moment), sauf la TV qui n'a pas les chaînes!
Il s'agit d'un décodeur UHD
"Problème de réception
La chaîne demandée n'est pas accessible...
code erreur : L11-06"
-
bonjour,
à mon avis, il y a un souci du coté du vlan 840 et ou de l'igmp proxy.
jerem
-
Le patch du client dhcp n’a rien à voir avec la TV. Si internet fonctionne alors le patch est inutile.
Il manque probablement l’option egress-qos dans sa configuration vu qu’il est parti de celle de Lyrca, qui utilise son switch pour faire le marquage de la CoS....
De mémoire pour le VLAN 840, c’est egress-qos “ 0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5 “. Si ça ne fonctionne toujours pas, alors vérifier que les interfaces downstream et upstream de la configuration d’igmp proxy sont correctes.
-
Merci Zoc,
par rapport aux 2 pistes évoquées:
<<Il manque probablement l’option egress-qos dans sa configuration vu qu’il est parti de celle de Lyrca, qui utilise son switch pour faire le marquage de la CoS....
De mémoire pour le VLAN 840, c’est egress-qos “ 0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5 “
>>
Je vois cela dans le config.boot:
vif 840 {
address 192.168.40.1/24
description "eth1.840 - TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
cela conrrespondrait-il?
Si le 2e point
<< vérifier que les interfaces downstream et upstream de la configuration d’igmp proxy sont correctes. >>
il y a cela
igmp-proxy {
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2.840 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
Cela est-il correct?
Sinon sur cette erreur j'ai cela aussi vu cela (Réponse #559 le: 27 décembre 2019 à 10:14:11)
https://lafibre.info/remplacer-livebox/opnsense-remplacer-livebox-aucune-modification-necessaire/msg718347/#msg718347 (https://lafibre.info/remplacer-livebox/opnsense-remplacer-livebox-aucune-modification-necessaire/msg718347/#msg718347)
<<Le problème venait bien de l'option 125.
J'avais calculé la chaine en utilisant le script de la réponse #548 de Roopfuse .
Ma chaine était correcte, sauf qu'il manquait 2 octets en début de chaine : "7d:29"
7d:29:00:00:0d:e9:24:04:06:37:mm:mm:mm:mm:mm:mm:0f:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:06:09:4c:69:76:65:62:6f:78:20:34
J'ai fait la modif sur le service DHCP et hop ! ça a fonctionné miraculeusement.>>
Si les 2 points précédents sont OK, est-ce une piste? Pour le moment, je ne sais par quoi en faire...
-
Voici les écrans de la config (pour ceux qui ne lise que ce post : la TV ne fonctionne pas)
(http://)
-
Cela est-il correct?
Ta config semble OK (egress-qos et igmp-proxy). Par contre, je connais pas assez les particularités des déco UHD, mais vu que la config de Lyrca est prévu pour, ça devrait fonctionner.
Par contre, tu peux aussi vérifier/redémarrer le service igmpproxy qui, parfois, fait des misères.
sudo systemctl status igmpproxy
-
Décodeur TV sur la LB => erreur L11-06 (fonctionnement partiel de la TV)
Décodeur sur un switch relié à ET2 => erreur G02 "Livebox incompatible"
Décodeur en direct sur ET2 => TV OK :-)
Toutes les briques semblent fonctionner !
A trouver pourquoi c'est un pb d'être sur le switch:
1/ c'est mélangé au reste du réseau? qui n'a plus de dhcp
2/ conflit avec un IP fixe, mais elles sont en 192.168.1.x donc ça ne devrait pas ?
Je vais essayer avec un switch séparé de l'ancien réseau...
-
Décodeur TV sur la LB => erreur L11-06 (fonctionnement partiel de la TV)
Décodeur sur un switch relié à ET2 => erreur G02 "Livebox incompatible"
Décodeur en direct sur ET2 => TV OK :-)
Au vu de tes tests, tout fonctionne au niveau du routeur. Si la livebox était branché sur et2, c'est normal que cela ne fonctionne pas.
A priroi c'est un problème de switch. Il faut vérifier que ton switch supporte l'IGMP snooping et il faut l'activer. Si tu as beaucoup d'appareil branché derrière ET2 et que tu n'as pas d'IGMP snooping, le flux IPTV sera envoyé à tous les appareils...
-
le branchement est le suivant:
ONT sur eth1
Livebox port 4 sur eth0 192.168.20.1/24
LAN sur eth2 192.168.10.1/24
c'est le décodeur que j'avais laissé sur la LB qui était sur et0
en mettant le décodeur sur eth2 (seul) ça fonctionne, mais je n'ai pas de LAN pour tout le reste!
mes switches sont basiques, non manageables (netgear gs108 et fs108p), ils n'ont donc certainement pas cette fonction!
Serait-il possible de laisser le décodeur sur la LB?
Serait-il possible de dédier un port de l'EdgeRouter au décodeur ?
-
je n'arrivais plus à reproduire ce test passant ?????
<<le branchement est le suivant:
ONT sur eth1
Livebox port 4 sur eth0 192.168.20.1/24
LAN sur eth2 192.168.10.1/24
c'est le décodeur que j'avais laissé sur la LB qui était sur et0
en mettant le décodeur sur eth2 (seul) ça fonctionne, mais je n'ai pas de LAN pour tout le reste!
>>
Dans bcp de tests effectués la TV ne fonctionnait pas => erreur G02 "Livebox incompatible"
Pour que àa fonctionne, il faut démarrer le décodeur connecté sur la LB => TV partielle
puis connexion du décodeur sur eth2 (LAN)
(test fait qu'une fois)
-
Pour que ça fonctionne, il faut démarrer le décodeur connecté sur la LB => TV partielle
puis connexion du décodeur sur eth2 (LAN)
Oui ca ressemble à un problème de filtrage des flux multicast. Donc il faudrait mettre ton décodeur sur un autre port mais il faut changer la config (remplacer ethX par ton interface) :
Remplacer
igmp-proxy {
interface eth2.840 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
Par
igmp-proxy {
interface ethX {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
Remplacer la config
ethernet eth2 {
vif 840 {
address 192.168.20.1/24
description "eth2.840 - TV"
mtu 1500
}
}
Par
ethernet ethX {
address 192.168.20.1/24
description "ethX - TV"
mtu 1500
}
Ajouter
dns {
forwarding {
listen-on ethX
}
}
Enfin je vois que Lyrca n'utilise pas les nameservers Orange. Le décodeur Orange de la LB4 a besoin des DNS orange. Le UHD, je ne sais pas.
Il faudrait donc peut-être supprimer tous les name-server dans la config service dns forwarding et remplacer par set service dns forwarding dhcp eth1.832 (ou remplacer par les DNS Orange directement).
Sauf erreur, ça devrait fonctionner, mais il ne doit y avoir que le décodeur derrière ton ethX, ni Livebox ni switch sans igmp-proxy. Il faut tester de redémarrer l'igmp-proxy et le routeur au cas où, j'ai aussi déjà eu des problèmes avec la récupération des DNS à partir du DHCP orange.
-
merci pinomat pour la config
je tente de tester d'ici ce soir...
-
pour le moment, j'ai des erreurs au load de la config
je ne connais pas tout à fait la syntaxe...
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WANv6 inbound traffic forwarded to LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WANv6 inbound traffic to the router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-name WANv6_OUT {
default-action accept
description "WANv6 outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
description "WAN outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description "eth0 - Livebox"
duplex auto
speed auto
vif 832 {
address 192.168.30.1/24
description "eth0.832 - Internet + VoIP"
}
}
ethernet eth1 {
description "eth1 - ONT"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 - Internet + VoIP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 0xxxxxxxxxxxC;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication, domain-search, SIP-servers, Vendor-Specific-Information;"
client-option "send rfc3118-authentication 0xxxxxxxxxxxxxxxxxxxxxxx;"
default-route update
default-route-distance 210
global-option "option rfc3118-authentication code 90 = string;"
global-option "option SIP-servers code 120 = string;"
global-option "option Vendor-Specific-Information code 125 = string;"
name-server no-update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
out {
ipv6-name WANv6_OUT
name WAN_OUT
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 840 {
address 192.168.40.1/24
description "eth1.840 - TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 - LAN"
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
/* block replaced by the next ones to allow the TV box on another eth
vif 840 {
address 192.168.20.1/24
description "eth2.840 - TV"
mtu 1500
}
*/
}
ethernet eth3 {
address 192.168.20.1/24
description "eth3 - TV"
mtu 1500
}
ethernet eth4 {
disable
duplex auto
speed auto
}
ethernet eth5 {
disable
duplex auto
speed auto
}
ethernet eth6 {
disable
duplex auto
speed auto
}
ethernet eth7 {
disable
duplex auto
speed auto
}
ethernet eth8 {
disable
duplex auto
speed auto
}
ethernet eth9 {
disable
duplex auto
speed auto
}
loopback lo {
}
protocols {
igmp-proxy {
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
/* block replaced by the next ones to allow the TV box on another eth
interface eth2.840 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
*/
interface eth3 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
domain-name local
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.30.0/24 {
default-router 192.168.30.1
dns-server 80.10.246.134
dns-server 81.253.149.5
domain-name orange.fr
lease 86400
start 192.168.30.30 {
stop 192.168.30.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
shared-network-name TV {
authoritative disable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.20.30 {
stop 192.168.20.50
}
subnet-parameters "option Vendor-specific 00:00:0d:e9:28:04:06:46:38:30:38:34:46:05:0f:4c:4b:31:39:32:32:36:44:50:39:39:32:37:31:35:06:0d:4c:69:76:65:62:6f:78:20:46:69:62:72:65;"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 200
listen-on eth2
name-server 1.1.1.1
name-server 1.0.0.1
name-server 8.8.8.8
name-server 8.8.4.4
}
/* block added by the next ones to allow the TV box on another eth */
forwarding {
cache-size 200
listen-on eth3
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
unms {
disable
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name local
host-name EdgeRouter
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1641 */
J'ai fait des variantes en enlevant les commentaires (je ne sais pas si l'on peut en mettre), en supprimant le disable des ethx non utilisés, en ajoutant cache-size 200 sur eth3.
J'essayerai de faire par morceau demain si c'est possible
A suivre
-
pour le moment, j'ai des erreurs au load de la config
je ne connais pas tout à fait la syntaxe...
Pourquoi tu n'utilises pas la CLI ???? Ca a tellement d'avantage comme ne pas casser toutes la config, t'alerter en cas d'incohérences de configuration, plus lisible, éviter les erreurs...
Pour supprimer les configurations : tu te connectes en SSH à ton routeur et tu tapes - par exemple pour remplacer la configuration igmp-proxy - les commandes suivantes :
configure
delete protocols igmp-proxy interface eth2.840
edit protocols igmp-proxy interface ethX.840
set alt-subnet 0.0.0.0/0
set role downstream
set threshold 1
exit;commit;save
-
Je pense que les tutos (et les miens aussi d'ailleurs), ne sont pas assez explicite sur l'utilisation du "load" pour charger la configuration. A faire une seule fois au début pour charger la configuration initiale. Ensuite il est effectivement fortement recommandé de passer par set/delete pour faire des frappes chirurgicales dans la conf. En plus c'est plus simple pour revenir en arrière, on peut avoir l'historique des modifications... que des avantages.
-
merci à vous 2
je débute comme cela se voit... (pas que sur la LB sur un routeur, mais aussi sur le routeur en général, et donc l'EdgeRouteur)
Il y a bcp de tutos et peu correspondent à sa config du moment.
bon,
sur le modèle de pinomat, j'ai fait les delta suivant:
Pour mémoire:
ONT => eth1
LB => eth0
LAN => eth2
TV => eth3
configure
delete interfaces ethernet eth2 vif 840
edit interfaces ethernet eth3
set address 192.168.20.1/24
set description "eth3 - TV"
set mtu 1500
exit;commit;save
configure
edit service dns forwarding
set listen-on eth3
exit;commit;save
pas vu d'erreur :-)
+ enable eth3 via GUI car pas fait et donc pas de LED allumée
Le décodeur ne démarre pas: pas d'ip vu du ER, j'ai ajouté un dhcp v4 pour voir, idem...
Comme j'ai vu que la config était dans /config, je vais la regarder de plus prêt pour comprendre
J'ai vu que pour pouvoir faire un ftp, il faut activer le root, ce que je vais faire
-
j'ai ajouté un dhcp v4 pour voir, idem...
Dans ta configuration, il y avait déjà un DHCP pour 192.168.20.0/24 (shared-network-name TV).
Le décodeur ne démarre pas: pas d'ip vu du ER
Tu veux dire que le décodeur ne récupère pas d'IP et que l'interface eth3 n'a pas d'IP non plus dans la GUI ? Si c'est ça, il faut que tu t'assures qu'il n'y a qu'une seule interface (eth3 dans ton cas) avec 192.168.20.1/24.
Pour info, le DHCP fonctionne de la manière suivante : tu définis une IP avec un réseau X.X.X.X/YY sur une interface, lorsqu'une requête DHCP arrive sur cette interface, il va chercher dans un serveur DHCP concernant ce réseau X.X.X.X/YY (pool, routeur, dns, static-mapping, ....).
Tu peux reposter ta configuration complète ? Ca pourrait aider à diagnostiquer.
Sinon, il n'y a pas de firewall sur ton interface eth3, il faut ajouter/remplacer quelques règles :
edit firewall name WAN_LOCAL rule 4
set action drop
set description "Drop invalid state"
set log disable
set state invalid enable
exit;commit
delete firewall name WAN_LOCAL rule 3
edit firewall name WAN_LOCAL rule 3
set action drop
set description "Drop invalid state"
set log disable
set state invalid enable
exit;commit;save
set interfaces ethernet eth3 firewall in name WAN_IN
set interfaces ethernet eth3 firewall local name WAN_LOCAL
J'ai vu que pour pouvoir faire un ftp, il faut activer le root, ce que je vais faire
Tu veux dire SFTP ? Si le SSH n'est pas activé, effectivement, active le. Connecte-toi avec putty (port 22) avec le même utilisateur que l'interface Web puis tu copies le fichier de config dans le home de l'utilisateur :
sudo cp /config/config.boot ~/
Enfin tu utilises WinSCP ou filezilla et tu récupères le fichier.
-
encore merci, (modif du 27/10/2020 pour mettre la config avec les modifs du post précédent)
voici ma config avec les ajouts que tu viens de signaler
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WANv6 inbound traffic forwarded to LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WANv6 inbound traffic to the router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-name WANv6_OUT {
default-action accept
description "WANv6 outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
rule 4 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
description "WAN outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description "eth0 - Livebox"
duplex auto
speed auto
vif 832 {
address 192.168.30.1/24
description "eth0.832 - Internet + VoIP"
}
}
ethernet eth1 {
description "eth1 - ONT"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 - Internet + VoIP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 01:...:5C;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication, domain-search, SIP-servers, Vendor-Specific-Information;"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:...3:14:e7;"
default-route update
default-route-distance 210
global-option "option rfc3118-authentication code 90 = string;"
global-option "option SIP-servers code 120 = string;"
global-option "option Vendor-Specific-Information code 125 = string;"
name-server no-update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
out {
ipv6-name WANv6_OUT
name WAN_OUT
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 840 {
address 192.168.40.1/24
description "eth1.840 - TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 - LAN"
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
}
ethernet eth3 {
address dhcp
description "eth3 - TV"
duplex auto
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
ethernet eth5 {
duplex auto
speed auto
}
ethernet eth6 {
duplex auto
speed auto
}
ethernet eth7 {
duplex auto
speed auto
}
ethernet eth8 {
duplex auto
speed auto
}
ethernet eth9 {
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
mtu 1500
}
}
protocols {
igmp-proxy {
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth3.840 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
domain-name local
lease 86400
start 192.168.10.3 {
stop 192.168.10.99
}
static-mapping erato {
ip-address 192.168.10.111
mac-address b8:27:eb:7d:00:36
}
static-mapping switchStudio {
ip-address 192.168.10.101
mac-address bc:cf:4f:fc:69:99
}
static-mapping wapChambre {
ip-address 192.168.10.104
mac-address 1c:87:2c:66:5a:30
}
static-mapping wapSalon {
ip-address 192.168.10.103
mac-address 04:d9:f5:92:fc:88
}
static-mapping wapStudio {
ip-address 192.168.10.105
mac-address a8:5e:45:96:80:70
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.30.0/24 {
default-router 192.168.30.1
dns-server 80.10.246.134
dns-server 81.253.149.5
domain-name orange.fr
lease 86400
start 192.168.30.30 {
stop 192.168.30.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
shared-network-name TV {
authoritative disable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.20.30 {
stop 192.168.20.50
}
subnet-parameters "option Vendor-specific 00:00:0d:e9:28:04:06:46:38:30:38:34:46:05:0f:4c:4b:31:39:32:32:36:44:50:39:39:32:37:31:35:06:0d:4c:69:76:65:62:6f:78:20:46:69:62:72:65;"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 200
listen-on eth2
listen-on eth3
name-server 1.1.1.1
name-server 1.0.0.1
name-server 8.8.8.8
name-server 8.8.4.4
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
unms {
disable
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name local
host-name EdgeRouter
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1641 */
Je viens de basculer sur ce LAN et j'ai qq soucis avec serveurs, AP... qui avaient qq config en dur, pwd...
ça risque de m'occuper un peu!
Internet fonctionne, je vais pouvoir travailler demain :-)
-
bonjour,
config repostée avec les dernières modif.
pas d'ip sur eth3
-
config repostée avec les dernières modif.
Voilà, on y voit plus clair !
Donc, tu n'as pas d'IP parce que tu ne l'as pas définie sur l'interface eth3. S'il n'y a pas de DHCP derrière eth3 (sur ton décodeur Orange dans ton cas), tu dois forcer une IP. Voir explications dans un de mes précédents posts.
Ensuite ton downstream pour l'igmp-proxy est l'interface eth3.840, alors qu'on a défini l'interface du décodeur sur eth3 (car tu n'as pas besoin de la vif 840 vu que tu n'as que le décodeur derrière ETH3). Donc il faut que ta configuration affiche eth3 et non eth3.840.
Pour le firewall, il y a une erreur, tu n'as pas fait correctement les modifications, tu as 2 fois la même règle. Supprime aussi les règles firewall sur l'interface eth3 pour être sûr (tu feras des règles propres plus tard).
Enfin, comme je l'ai déjà dit, tu as besoin des DNS orange pour avoir la TV. Il faut supprimer dans la partie DNS les name-server et les remplacer par ceux fournis par le DHCP Orange (sur ton interface eth1.832. Donc soit tu forces les DNS Orange dans le serveur DHCP du range 192.168.20.0/24 soit tu fais comme le printscreen et tu supprimers les name-server et tu ajoutes les DNS du DHCP.
J'ai fait les printscreen pour t'aider à voir ce que tu dois avoir dans le fichier de config.boot.
Utilise la CLI, tu verras qu'à force c'est plus simple. Si besoin on t'explique comment te connecter avec Putty et les 3/4 commandes pour supprimer/ajouter/configurer/sauvegarder. Mais si tu cherches sur le site d'Ubiquiti tu devrais trouver quelques exemples et même des docs expliquant tout ça.
-
Merci!
je m'y attaque dès que j'ai récupéré le reste de mon réseau (3 NAS perdus, domotique 50%...)
J'ai une petit soucis (pas liée à la TV...): j'ai l'impression que les hostnames configurés sur l'ER ne sont pas reconnus de certains systèmes (ma domotique sous linux en particulier). Si je change le hostname par l'ip ça marche.
Depuis mon pc en windows, les hostnames sont ok.
-
help!
j'ai cassé des choses un peu vitales :'(
je n'arrive pas ping mon NAS alors qu'il est visible avec un Advance IP scanner.
Mais il n’apparaissait pas dans les lease sous une IP d'un essai précédent (sans IP fixe).
Je l'ai configuré avec une IP fixe 192.168.10.201 accès toujours impossible ; puis j'ai aussi mis cette IP dans le static MAC/IP de l'ER
Mais toujours pas accessible (le port est 5000/5001 si cela à une influence)
Maintenant qu'il a une IP fixe sur ce réseau, je ne peux plus le mettre sur celui de la LB.
Idem sur un autre NAS (que j'ai laisse en DHCP)
-
help!
j'ai cassé des choses un peu vitales :'(
je n'arrive pas ping mon NAS alors qu'il est visible avec un Advance IP scanner.
Mais il n’apparaissait pas dans les lease sous une IP d'un essai précédent (sans IP fixe).
Je l'ai configuré avec une IP fixe 192.168.10.201 accès toujours impossible ; puis j'ai aussi mis cette IP dans le static MAC/IP de l'ER
Mais toujours pas accessible (le port est 5000/5001 si cela à une influence)
Maintenant qu'il a une IP fixe sur ce réseau, je ne peux plus le mettre sur celui de la LB.
Idem sur un autre NAS (que j'ai laisse en DHCP)
Qu'as-tu fais ? Tu as utilisé la CLI ?
Il peut y avoir tellement de chose qui ne vont pas... Si tu n'arrives pas à joindre ton NAS, il peut y avoir plein de chose qui ne vont pas.
Tu ne voudrais pas tout faire trop vite, tout en même temps ?
Une devise que je connais bien, c'est que pour être bien aidé, il faut se laisser guider.
Reprends ta dernière configuration. Fait fonctionner une chose à la fois en essayant de comprendre ce que tu fais.
-
désolé!
c'est un problème de changement de réseau des NAS => j'ai utilisé le bouton reset pour init de l'IP et de DNS des NAS
Maintenant c'est OK, j'ai accès, je peux les laisser
J'ai vais regarder la suite de tes consignes
Toujours le problème des dns non "vus" des serveurs alors que vu de mon PC !?!
Mais peut-être que ça ira mieux avec l'application des tes consignes
-
Toujours le problème des dns non "vus" des serveurs alors que vu de mon PC !?!
Si tu n'as pas de serveur dns local, tu peux utiliser dnsmasq de l'edgerouter (il est désactivé dans ta config) :
set service dhcp-server use-dnsmasq enable
https://help.ui.com/hc/en-us/articles/115002673188-EdgeRouter-DHCP-Server-Using-Dnsmasq (https://help.ui.com/hc/en-us/articles/115002673188-EdgeRouter-DHCP-Server-Using-Dnsmasq)
PS : j'ai relu ta configuration. Pour les dns, tu as bien des DNS Orange dans la configuration du DHCP 192.168.20.0/24 pour ton interface eth3. Donc tu n'as pas besoin de supprimer name-server x.x.x.x par dhcp eth1.832.
-
Merci pour l'info
j'avance doucement dans les consignes à appliquer...
-
J'ai mis en place le dsn par la commande que tu m'as indiquée, puis par le wizard pour les déclarations.
Pas trop d'autres modifications
Avec les dns mis en place, c'est bon pour mon système local, mais je n'ai plus accès à www.orange.fr ni à ma télé sur ipad (appli TV) (ça marche en 4G)
J'ai enlevé le dns (disable) et ça redevient ok
Est-ce lié aux modifications non faites?
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WANv6 inbound traffic forwarded to LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WANv6 inbound traffic to the router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-name WANv6_OUT {
default-action accept
description "WANv6 outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 2 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 4 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
description "WAN outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description "eth0 - Livebox"
duplex auto
speed auto
vif 832 {
address 192.168.30.1/24
description "eth0.832 - Internet + VoIP"
}
}
ethernet eth1 {
description "eth1 - ONT"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 - Internet + VoIP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 01:...:5C;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication, domain-search, SIP-servers, Vendor-Specific-Information;"
client-option "send rfc3118-authentication 00:...:e7;"
default-route update
default-route-distance 210
global-option "option rfc3118-authentication code 90 = string;"
global-option "option SIP-servers code 120 = string;"
global-option "option Vendor-Specific-Information code 125 = string;"
name-server no-update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
out {
ipv6-name WANv6_OUT
name WAN_OUT
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 840 {
address 192.168.40.1/24
description "eth1.840 - TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 - LAN"
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
}
ethernet eth3 {
address dhcp
description "eth3 - TV"
duplex auto
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
ethernet eth5 {
duplex auto
speed auto
}
ethernet eth6 {
duplex auto
speed auto
}
ethernet eth7 {
duplex auto
speed auto
}
ethernet eth8 {
duplex auto
speed auto
}
ethernet eth9 {
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
mtu 1500
}
}
protocols {
igmp-proxy {
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth3.840 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
domain-name local
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
static-mapping CRIOS {
ip-address 192.168.10.201
mac-address 00:11:32:35:df:b4
}
static-mapping CRIOS107 {
ip-address 192.168.10.203
mac-address 00:11:32:03:62:98
}
static-mapping CRIOS210 {
ip-address 192.168.10.202
mac-address 00:11:32:07:bb:3f
}
static-mapping epsCuve {
ip-address 192.168.10.114
mac-address 68:c6:3a:a6:5b:e1
}
static-mapping erato {
ip-address 192.168.10.111
mac-address b8:27:eb:7d:00:36
}
static-mapping hestia {
ip-address 192.168.10.112
mac-address b8:27:eb:25:53:b5
}
static-mapping switchStudio {
ip-address 192.168.10.101
mac-address bc:cf:4f:fc:69:99
}
static-mapping vito {
ip-address 192.168.10.113
mac-address b8:27:eb:13:3a:55
}
static-mapping wapChambre {
ip-address 192.168.10.104
mac-address 1c:87:2c:66:5a:30
}
static-mapping wapSalon {
ip-address 192.168.10.103
mac-address 04:d9:f5:92:fc:88
}
static-mapping wapStudio {
ip-address 192.168.10.105
mac-address a8:5e:45:96:80:70
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.30.0/24 {
default-router 192.168.30.1
dns-server 80.10.246.134
dns-server 81.253.149.5
domain-name orange.fr
lease 86400
start 192.168.30.30 {
stop 192.168.30.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
shared-network-name TV {
authoritative disable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.20.30 {
stop 192.168.20.50
}
subnet-parameters "option Vendor-specific 00:00:0d:e9:28:04:06:46:38:30:38:34:46:05:0f:4c:4b:31:39:32:32:36:44:50:39:39:32:37:31:35:06:0d:4c:69:76:65:62:6f:78:20:46:69:62:72:65;"
}
}
static-arp disable
use-dnsmasq enable
}
dns {
forwarding {
cache-size 200
listen-on eth2
listen-on eth3
name-server 1.1.1.1
name-server 1.0.0.1
name-server 8.8.8.8
name-server 8.8.4.4
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
unms {
disable
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name local
host-name EdgeRouter
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
static-host-mapping {
host-name crios {
alias CRIOS
inet 192.168.10.201
}
host-name erato {
alias chambre
inet 192.168.10.111
}
host-name espcuve {
alias ESPCUVE
inet 192.168.10.114
}
host-name hestia {
alias HESTIA
inet 192.168.10.112
}
host-name vito {
alias VITO
inet 192.168.10.113
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1641 */
Le reste d'internet est ok!
-
Avec les dns mis en place, c'est bon pour mon système local, mais je n'ai plus accès à www.orange.fr ni à ma télé sur ipad (appli TV) (ça marche en 4G)
au risque de paraître un peu (plus) farfelu, maintenant ça fonctionne?
J'ai désactivé le dns pour vérifier si cela venait de lui et juste après www.orange.fr et TV sur ipad ok, ensuite j'ai fait exit sans sauver.
Je viens de refaire un test et les dns sont ok ! (je viens d'en rajouter un pour vérifier) !?
Question: puis-je laisser la LB avec sa config initiale? NAT en particulier qui ne sert plus (sauf en cas de retour arrière...) ou je dois nettoyer?
Normalement à la cible, la LB ne sert plus que pour le téléphone, c'est cela?
-
Modifications effectuées,
voici un recap:
1/ DHCP derrière eth3
dns {
forwarding {
cache-size 200
dhcp eth1.832
listen-on eth2
listen-on eth3
name-server 1.1.1.1
name-server 1.0.0.1
name-server 8.8.8.8
name-server 8.8.4.4
2/ igmp-proxy eth3 et non eth3.840
protocols {
igmp-proxy {
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth3 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
3/ firewall (règle 40)
name WAN_LOCAL {
...
rule 30 {
action accept
description "Allow IGMP"
log disable
protocol igmp
}
rule 40 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
et suppression sur eth3
ethernet eth3 {
address 192.168.20.1/24
description "eth3 - TV"
duplex auto
speed auto
4/ DNS orange (pas sûr d'avoir tout compris entre les 2 posts)
voir 1/ je les ai laissés.
Après essai, ça ne fonctionne pas : erreur S01-01 Problème de connexion (câble branché: vert sur le routeur!).
J'ai redémarré le décodeur TV, pas le reste (ONT, LB...)
La config complète
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WANv6 inbound traffic forwarded to LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WANv6 inbound traffic to the router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-name WANv6_OUT {
default-action accept
description "WANv6 outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 30 {
action accept
description "Allow IGMP"
log disable
protocol igmp
}
rule 40 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
description "WAN outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description "eth0 - Livebox"
duplex auto
speed auto
vif 832 {
address 192.168.30.1/24
description "eth0.832 - Internet + VoIP"
}
}
ethernet eth1 {
description "eth1 - ONT"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 - Internet + VoIP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 01:yyy:5C;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication, domain-search, SIP-servers, Vendor-Specific-Information;"
client-option "send rfc3118-authentication 00:xxx:e7;"
default-route update
default-route-distance 210
global-option "option rfc3118-authentication code 90 = string;"
global-option "option SIP-servers code 120 = string;"
global-option "option Vendor-Specific-Information code 125 = string;"
name-server no-update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
out {
ipv6-name WANv6_OUT
name WAN_OUT
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 840 {
address 192.168.40.1/24
description "eth1.840 - TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 - LAN"
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
}
ethernet eth3 {
address 192.168.20.1/24
description "eth3 - TV"
duplex auto
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
ethernet eth5 {
duplex auto
speed auto
}
ethernet eth6 {
duplex auto
speed auto
}
ethernet eth7 {
duplex auto
speed auto
}
ethernet eth8 {
duplex auto
speed auto
}
ethernet eth9 {
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
mtu 1500
}
}
protocols {
igmp-proxy {
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth3 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
domain-name local
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
static-mapping CRIOS {
ip-address 192.168.10.201
mac-address 00:11:32:35:df:b4
}
static-mapping CRIOS107 {
ip-address 192.168.10.203
mac-address 00:11:32:03:62:98
}
static-mapping CRIOS210 {
ip-address 192.168.10.202
mac-address 00:11:32:07:bb:3f
}
static-mapping epsCuve {
ip-address 192.168.10.114
mac-address 68:c6:3a:a6:5b:e1
}
static-mapping erato {
ip-address 192.168.10.111
mac-address b8:27:eb:7d:00:36
}
static-mapping hestia {
ip-address 192.168.10.112
mac-address b8:27:eb:25:53:b5
}
static-mapping switchStudio {
ip-address 192.168.10.101
mac-address bc:cf:4f:fc:69:99
}
static-mapping vito {
ip-address 192.168.10.113
mac-address b8:27:eb:13:3a:55
}
static-mapping wapChambre {
ip-address 192.168.10.104
mac-address 1c:87:2c:66:5a:30
}
static-mapping wapSalon {
ip-address 192.168.10.103
mac-address 04:d9:f5:92:fc:88
}
static-mapping wapStudio {
ip-address 192.168.10.105
mac-address a8:5e:45:96:80:70
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.30.0/24 {
default-router 192.168.30.1
dns-server 80.10.246.134
dns-server 81.253.149.5
domain-name orange.fr
lease 86400
start 192.168.30.30 {
stop 192.168.30.50
}
subnet-parameters "option rfc3118-auth 00:xxx:30;"
subnet-parameters "option SIP 00:0xxx:ff;"
}
}
shared-network-name TV {
authoritative disable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.20.30 {
stop 192.168.20.50
}
subnet-parameters "option Vendor-specific 00:00:xx5;"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 200
dhcp eth1.832
listen-on eth2
listen-on eth3
name-server 1.1.1.1
name-server 1.0.0.1
name-server 8.8.8.8
name-server 8.8.4.4
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
unms {
disable
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name local
host-name EdgeRouter
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
static-host-mapping {
host-name crios {
alias CRIOS
inet 192.168.10.201
}
host-name crios210 {
alias CRIOS210
inet 192.168.10.202
}
host-name erato {
alias chambre
inet 192.168.10.111
}
host-name espcuve {
alias ESPCUVE
inet 192.168.10.114
}
host-name hestia {
alias HESTIA
inet 192.168.10.112
}
host-name vito {
alias VITO
inet 192.168.10.113
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1641 */
Aurais-tu stp une explication sur le problème de connexion vers les sites orange.fr de cet après-midi et la TV sur ipad ne fonctionnant pas ? A ce moment là j'ai vu la LB en rouge, mais je croyais qu'elle n'intervenait pas ...
Et le rapport avec le dns que j'ai mis? Dans le config, il y a un "orange.fr"
-
Aurais-tu stp une explication sur le problème de connexion vers les sites orange.fr de cet après-midi et la TV sur ipad ne fonctionnant pas ? A ce moment là j'ai vu la LB en rouge, mais je croyais qu'elle n'intervenait pas ...
Et le rapport avec le dns que j'ai mis? Dans le config, il y a un "orange.fr"
Oui, j'avais eu des problèmes étranges avec le Wi-Fi et certains sites/applications. En fait, le problème venait de la connectivé IPv6. En fait, mon point d'accès (UAP-AC-PRO) bloque certains messages multicast/broadcast (il n'y a pas de liste exhaustive) et de mémoire.
Je te conseille pour le moment de supprimer sur tous les clients la fonctionnalité IPv6 pour être sûr que ce ne soit pas l'origine du problème !
Pour le décodeur, on est d'accord que tu le branches le décodeur TV directement sur eth3 ?
Dans la configuration service dns forwarding, c'est soit name-server, soit dhcp (de ce que j'avais lu, je crois que les deux configurations sont contradictoires). Quand tu mets dhcp ethx, du demandes au DHCP Orange de fournir les dns à l'EdgeRouter. Quand tu indiques name-server x.x.x.x, tu fournis toi-même les DNS au routeur.
Vu que tu indiques dans la configuration de ton serveur DHCP de l'interface ETH3 les DNS Orange, tu n'as pas besoin de les demander à Orange donc :
delete service dns forwarding dhcp eth1.832
Sinon il faudrait que tu vérifies que ces deux serveurs fonctionnent bien avec nslookup
-
Merci pour tes retours
Je te conseille pour le moment de supprimer sur tous les clients la fonctionnalité IPv6 pour être sûr que ce ne soit pas l'origine du problème !
chaque client? c'est-à-dire ? Mon ipad par exemple, car pas possible? Ou bien sur l'ER je supprime l'IPv6?
Pour le décodeur, on est d'accord que tu le branches le décodeur TV directement sur eth3 ?
oui
Dans la configuration service dns forwarding, c'est soit name-server, soit dhcp (de ce que j'avais lu, je crois que les deux configurations sont contradictoires). Quand tu mets dhcp ethx, du demandes au DHCP Orange de fournir les dns à l'EdgeRouter. Quand tu indiques name-server x.x.x.x, tu fournis toi-même les DNS au routeur.
Vu que tu indiques dans la configuration de ton serveur DHCP de l'interface ETH3 les DNS Orange, tu n'as pas besoin de les demander à Orange donc :
delete service dns forwarding dhcp eth1.832
je teste ce soir
Sinon il faudrait que tu vérifies que ces deux serveurs fonctionnent bien avec nslookup
ok, j'ai vu dans l'ihm de l'ER que le TV et Livebox avait une IP chacun (lease), mais cela ne suffit pet-être pas?
-
Mon ipad par exemple, car pas possible? Ou bien sur l'ER je supprime l'IPv6?ouije teste ce soirok, j'ai vu dans l'ihm de l'ER que le TV et Livebox avait une IP chacun (lease), mais cela ne suffit pet-être pas?
Dans un premier temps, il est préférable de faire la configuration IPv4 avant de commencer la configuration IPv6.
Donc, tu peux désactiver des deux côtés : au niveau du routeur et des appareils Wi-Fi pour ton problème TV sur l'IPad. Un delete interfaces ethernet eth1 vif 832 ipv6 devrait être suffisant (en passant, tu ne devrais pas avoir ça, tout est géré dans le script dhclient). Si tu as fait la config dhclient pour IPv6, il faut aussi faire un sudo systemctl disable dhclient6 && sudo systemctl stop dhclient6
La Livebox, tu en as besoin que pour la VoIP, donc on va pas en parler pour l'instant. Pour la TV, si tu vois l'IP sur l'IHM, c'est bien mais ça veut juste dire que le décodeur à pu joindre le serveur DHCP. Maintenant, il faut voir si il peut déjà accéder à Internet (si oui, le routage et les DNS sont OK). Idéalement, tu branches un PC sur ETH3 pour vérifier qu'il fonctionne correctement, si oui, alors c'est un autre problème option DHCP pour l'UHD?
J'avais fait un tuto complet (avec un switch pour faire la CoS), peut-être que tu pourras mieux comprendre ce que tu fais : https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/.
Il date de 2019 et j'ai changé pas mal de truc, mais il y a, j'espère des explications claires pour chaque étape.
-
Merci,
cela fait beaucoup d'info à assimiler, mais maintenant en plus de mes soirées, j'ai mes WE - cf. le 2e confinement pour les historiens qui reliront les posts plus tard ;-)
J'avais vu ce tuto mais le switch intermédiaire me l’avais fait écarter ; je le relirai donc!
J'ai fait le "delete service dns forwarding dhcp eth1.832" => le décodeur se connecte et affiche le bandeau du zapping, mais pas encore les chaînes!
Beaucoup de notions d'un coup, mais comme mon réseau est de nouveau opérationnel, pas d'urgence.
-
Avec les dns mis en place, c'est bon pour mon système local
En fait les ping fonctionnaient à partir d'un système linux mais pas à partir d'un PC win 10 ou 7.
La désactivation de l'IPv6 n'a rien changé (sur l'ER seulement, je ne peux pas changer les autres config)
J'ai vu le tuto https://www.youtube.com/watch?v=e34QNh16fh8 EdgeRouter as a simple DNS server
=> j'ai mis les 1.1.1.1 sur le system name server comme indiqué => pas mieux!
J'ai essayé de mettre ".local" à la fin de l'alias => crios.local ; le "local" vient de System domain-name
=> les ping fonctionnement à partir de window!
Dans system, il y avait toujours une case cochée sur support IPv6, j'ai décoché + reboot => pas de changement pour les ping
-
un petit test avant de se coucher au cas où...
et le TV marche ! idem le replay et la VOD (je n'ai pas testé la location jusqu'au bout)
La désactivation de l'IPv6 ? les 1.1.1.1 sur le system name server ?
La dernière config
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WANv6 inbound traffic forwarded to LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WANv6 inbound traffic to the router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-name WANv6_OUT {
default-action accept
description "WANv6 outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 30 {
action accept
description "Allow IGMP"
log disable
protocol igmp
}
rule 40 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
description "WAN outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description "eth0 - Livebox"
duplex auto
speed auto
vif 832 {
address 192.168.30.1/24
description "eth0.832 - Internet + VoIP"
}
}
ethernet eth1 {
description "eth1 - ONT"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 - Internet + VoIP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 01:XX:5C;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication, domain-search, SIP-servers, Vendor-Specific-Information;"
client-option "send rfc3118-authentication 00:YY:e7;"
default-route update
default-route-distance 210
global-option "option rfc3118-authentication code 90 = string;"
global-option "option SIP-servers code 120 = string;"
global-option "option Vendor-Specific-Information code 125 = string;"
name-server no-update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
out {
ipv6-name WANv6_OUT
name WAN_OUT
}
}
}
vif 840 {
address 192.168.40.1/24
description "eth1.840 - TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 - LAN"
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
}
ethernet eth3 {
address 192.168.20.1/24
description "eth3 - TV"
duplex auto
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
ethernet eth5 {
duplex auto
speed auto
}
ethernet eth6 {
duplex auto
speed auto
}
ethernet eth7 {
duplex auto
speed auto
}
ethernet eth8 {
duplex auto
speed auto
}
ethernet eth9 {
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
mtu 1500
}
}
protocols {
igmp-proxy {
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth3 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
domain-name local
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
static-mapping CRIOS {
ip-address 192.168.10.201
mac-address 00:11:32:35:df:b4
}
static-mapping CRIOS107 {
ip-address 192.168.10.203
mac-address 00:11:32:03:62:98
}
static-mapping CRIOS210 {
ip-address 192.168.10.202
mac-address 00:11:32:07:bb:3f
}
static-mapping ReolinkCam1 {
ip-address 192.168.10.116
mac-address ec:71:db:68:de:4d
}
static-mapping epsCuve {
ip-address 192.168.10.114
mac-address 68:c6:3a:a6:5b:e1
}
static-mapping erato {
ip-address 192.168.10.111
mac-address b8:27:eb:7d:00:36
}
static-mapping hestia {
ip-address 192.168.10.112
mac-address b8:27:eb:25:53:b5
}
static-mapping lmsSalon {
ip-address 192.168.10.115
mac-address b8:27:eb:42:7b:aa
}
static-mapping switchStudio {
ip-address 192.168.10.101
mac-address bc:cf:4f:fc:69:99
}
static-mapping vito {
ip-address 192.168.10.113
mac-address b8:27:eb:13:3a:55
}
static-mapping wapChambre {
ip-address 192.168.10.104
mac-address 1c:87:2c:66:5a:30
}
static-mapping wapSalon {
ip-address 192.168.10.103
mac-address 04:d9:f5:92:fc:88
}
static-mapping wapStudio {
ip-address 192.168.10.105
mac-address a8:5e:45:96:80:70
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.30.0/24 {
default-router 192.168.30.1
dns-server 80.10.246.134
dns-server 81.253.149.5
domain-name orange.fr
lease 86400
start 192.168.30.30 {
stop 192.168.30.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
shared-network-name TV {
authoritative disable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.20.30 {
stop 192.168.20.50
}
subnet-parameters "option Vendor-specific 00:00:0d:e9:28:04:06:46:38:30:38:34:46:05:0f:4c:4b:31:39:32:32:36:44:50:39:39:32:37:31:35:06:0d:4c:69:76:65:62:6f:78:20:46:69:62:72:65;"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 200
listen-on eth2
listen-on eth3
name-server 1.1.1.1
name-server 1.0.0.1
name-server 8.8.8.8
name-server 8.8.4.4
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
unms {
disable
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name local
host-name EdgeRouter
ipv6 {
disable
}
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 1.1.1.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
static-host-mapping {
host-name cam1reolink {
alias ReolinkCam1.local
alias cam1Reolink.local
inet 192.168.10.116
}
host-name clio {
alias clio.local
alias kodi.local
inet 192.168.10.117
}
host-name crios {
alias crios.local
inet 192.168.10.201
}
host-name crios107 {
alias CRIOS107.local
inet 192.168.10.203
}
host-name crios210 {
alias CRIOS210.local
inet 192.168.10.202
}
host-name erato {
alias LMSChambre.local
alias erato.local
inet 192.168.10.111
}
host-name espcuve {
alias ESPCuve.local
inet 192.168.10.114
}
host-name hestia {
alias hestia.local
inet 192.168.10.112
}
host-name lmssalon {
alias lmsSalon.local
inet 192.168.10.115
}
host-name switchstudio {
alias switchStudio.local
inet 192.168.10.101
}
host-name vito {
alias vito.local
inet 192.168.10.113
}
host-name wapchambre {
alias wapChambre.local
inet 192.168.10.104
}
host-name wapsalon {
alias wapSalon.local
inet 192.168.10.103
}
host-name wapstudio {
alias wapStudio.local
inet 192.168.10.105
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1641 */
-
Bravo !
Content de savoir que ta box TV fonctionne maintenant. Possible que cela soit l'IPv6, moins le 1.1.1.1 dans les system-name-server. Je penche plutôt pour un problème de démarrage de l'igmp-proxy. J'ai déjà eu le cas plusieurs fois.
Quand tu fais un ping, utilise l'IP. Tu n'as pas besoin de DNS dans ce cas. Pour pouvoir faire un ping sur un nom, tu dois avoir un DNS. Si ce sont des machines sur ton réseau, tu dois avoir ton propre serveur DNS.
Il ne faut pas par exemple dire à ton PC d'utiliser directement les DNS d'orange, sinon tu ne pourras pas "pinger" les noms de tes appareils. Il faut d'abord faire la résolution sur ton serveur DNS privé, qui forwardera la demande si le domaine de la machine que tu essaies de joindre n'est pas gérer par lui-même.
Donc il faut que tu vérifies que tes machines utilisent le routeur comme DNS + il faut activer le dnsmsas. Dans ta dernière config, tu as use-dnsmasq disable -> ça ne marchera donc pas...
-
Dans ta dernière config, tu as use-dnsmasq disable -> ça ne marchera donc pas...
j'ai donc fait set service dhcp-server use-dnsmasq enable
et effectivement le dns fonctionne vu des pc windows
par contre www.orange.fr et autres d'orange ne fonctionnement plus!
Donc pour le moment j'ai remis disable!
Peut-être une solution avec des dns à mettre sur de la configuration du LAN ?
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
domain-name local
Dans l'ihm il y a 2 cases: DNS 1 et DNS2
J'ai fait qq essais avec ceux de TV, mais c'est pareil
J'ai mis 9.9.9.9 idem
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
dns-server 9.9.9.9
Peut-être faut-il attendre ou réinitialiser qqch pour tester
-
Hello,
Je ne vais pas détailler comment cela fonctionne car je ne me rappelle plus exactement (je préfère ne rien dire que dire des conneries). J'ai fait un script maison (basé sur ce que j'avais trouvé sur le forum) qui permet de gérer les préfixes IPv6 pour des VLAN. Je l'avais testé à l'époque et cela fonctionnait.
Il faut spécifier les
Le génère le fichier de configuration radvd et redémarre le service.
Il y a peut-être un peu plus d'explication dans mon vieux tuto : https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/ (https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/)
J'ai fait l'upgrade de mon edgerouter4 aujourd'hui en passant de la branche 1.x vers 2.0.9-rc3.
Tout s'est bien passé, IPv4 a même fonctionné sans aucune modification (j'ai un switch qui permet de changer la cos).
Par contre j'ai un peu plus de problème pour IPv6. J'ai installé le dhclient3 patché puis j'ai suivi ton post. Le script se lance bien :
$ sudo systemctl status dhclient6
* dhclient6.service - dhclient for sending DUID IPv6
Loaded: loaded (/etc/systemd/system/dhclient6.service; enabled; vendor preset: enabled)
Active: active (running) since Sun 2020-10-25 02:19:03 UTC; 5min ago
Process: 7710 ExecStart=/sbin/dhclient -6 -P -nw -cf /etc/dhcp3/dhclient6_eth1_832.conf -pf /var/run/dhclient6_eth1_832.pid -lf /var/run/dhclient6_eth1_832.leases eth1.832 (code=exited, status=0/SUCCESS)
Main PID: 7747 (dhclient)
CGroup: /system.slice/dhclient6.service
`-7747 /sbin/dhclient -6 -P -nw -cf /etc/dhcp3/dhclient6_eth1_832.conf -pf /var/run/dhclient6_eth1_832.pid -lf /var/run/dhclient6_eth1_832.leases eth1.832
J'ai aucune erreur dans le journal :
$ sudo journalctl -t dhclient6
No journal files were found.
-- No entries --
Par contre aucune ipv6, nulle part.
Je ne sais pas trop comment fonctionne dhclient3 derrière, mais par exemple que doit contenir les fichiers dhclient6_eth1_832.leases et dhclient6_eth1_832.pid ?
Voici les miens :
ubnt@ubnt:/var/run$ cat dhclient6_eth1_832.leases
default-duid "\000\001\000\001''\235\027\374\354\332Eu\233";
ubnt@ubnt:/var/run$ cat dhclient6_eth1_832.pid
7747
Avec les captures, je vois bien les paquets DHCP solicit partir sans aucune réponse :
ubnt@ubnt:/var/run$ sudo tcpdump -ni eth1.832 port 546 or port 547
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1.832, link-type EN10MB (Ethernet), capture size 262144 bytes
02:31:02.479999 IP6 fe80::feec:daff:fe45:759b.546 > ff02::1:2.547: dhcp6 solicit
02:31:03.570856 IP6 fe80::feec:daff:fe45:759b.546 > ff02::1:2.547: dhcp6 solicit
02:31:05.782812 IP6 fe80::feec:daff:fe45:759b.546 > ff02::1:2.547: dhcp6 solicit
02:31:10.297374 IP6 fe80::feec:daff:fe45:759b.546 > ff02::1:2.547: dhcp6 solicit
02:31:19.627835 IP6 fe80::feec:daff:fe45:759b.546 > ff02::1:2.547: dhcp6 solicit
Dans le passé, il m'est déjà arrivé après un update d'avoir de l'ipv6 un ou deux jours plus tard sans rien faire. Est-ce possible que ce soit le cas ici (un timer côté Orange qui expire ou quelque chose comme ça ? dans ce cas là un moyen de forcer le reset?).
Merci beaucoup d'avance pour l'aide apportée.
EDIT :
Suite à un reboot de l'ont, l'échange DHCPv6 s'est bien effectué.
Comment puis-je savoir quel est mon prefixe ipv6 ? Car le script de ce tuto https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/]https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox ne semble pas marcher (du moins dans mon cas).
-
Donc il faut que tu vérifies que tes machines utilisent le routeur comme DNS + il faut activer le dnsmsas. Dans ta dernière config, tu as use-dnsmasq disable -> ça ne marchera donc pas...
quand j'enable le dnsmsas, mes dns (sans .local) fonctionnent bien sur les pc en win (10 et 7), par contre les sites orange.fr... sont sont plus accessibles ; c'est bien lié à cela et non au wifi: j'ai bien re-testé avec un PC et un câble.
Cela semble mentionné ici https://lafibre.info/remplacer-livebox/pas-de-resolution-de-orange-fr-lb-remplacee-par-edgerouter/msg639281/#msg639281 (https://lafibre.info/remplacer-livebox/pas-de-resolution-de-orange-fr-lb-remplacee-par-edgerouter/msg639281/#msg639281)
Mais je n'ai pas trop compris comment mettre en oeuvre la solution et si une solution est vraiment donnée (j'ai déjà essayé les dns de ma LB en DNS1 et DNS2 sur le LAN, sans effet. Pour le moment, j'ai mis DNS1 = 192.168.10.1 et DNS2 = 9.9.9.9.
Je n'ai pas trop compris l'intérêt d'avoir dnsmsas enabled, à part que mes dns locaux seraient ok sans mettre .local à la fin ; j'ai crû comprendre qu'il pouvait y avoir des optimisations.
Sur le pourquoi c'est tombé en marche... J'ai re-coché Enable IPv6 support dans system, et cela fonctionne encore. c'est donc probablement dû aux autres actions pour désactiver IPv6 car dans le post du début, il est mentionné eth1, eth2... dans les fichiers et comme la TV est sur eth3 cala peut poser des problèmes
-
J'ai fait l'upgrade de mon edgerouter4 aujourd'hui en passant de la branche 1.x vers 2.0.9-rc3.
Tout s'est bien passé, IPv4 a même fonctionné sans aucune modification (j'ai un switch qui permet de changer la cos).
Par contre j'ai un peu plus de problème pour IPv6. J'ai installé le dhclient3 patché puis j'ai suivi ton post. Le script se lance bien :
$ sudo systemctl status dhclient6
* dhclient6.service - dhclient for sending DUID IPv6
Loaded: loaded (/etc/systemd/system/dhclient6.service; enabled; vendor preset: enabled)
Active: active (running) since Sun 2020-10-25 02:19:03 UTC; 5min ago
Process: 7710 ExecStart=/sbin/dhclient -6 -P -nw -cf /etc/dhcp3/dhclient6_eth1_832.conf -pf /var/run/dhclient6_eth1_832.pid -lf /var/run/dhclient6_eth1_832.leases eth1.832 (code=exited, status=0/SUCCESS)
Main PID: 7747 (dhclient)
CGroup: /system.slice/dhclient6.service
`-7747 /sbin/dhclient -6 -P -nw -cf /etc/dhcp3/dhclient6_eth1_832.conf -pf /var/run/dhclient6_eth1_832.pid -lf /var/run/dhclient6_eth1_832.leases eth1.832
J'ai aucune erreur dans le journal :
$ sudo journalctl -t dhclient6
No journal files were found.
-- No entries --
Par contre aucune ipv6, nulle part.
Je ne sais pas trop comment fonctionne dhclient3 derrière, mais par exemple que doit contenir les fichiers dhclient6_eth1_832.leases et dhclient6_eth1_832.pid ?
Voici les miens :
ubnt@ubnt:/var/run$ cat dhclient6_eth1_832.leases
default-duid "\000\001\000\001''\235\027\374\354\332Eu\233";
ubnt@ubnt:/var/run$ cat dhclient6_eth1_832.pid
7747
Avec les captures, je vois bien les paquets DHCP solicit partir sans aucune réponse :
ubnt@ubnt:/var/run$ sudo tcpdump -ni eth1.832 port 546 or port 547
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1.832, link-type EN10MB (Ethernet), capture size 262144 bytes
02:31:02.479999 IP6 fe80::feec:daff:fe45:759b.546 > ff02::1:2.547: dhcp6 solicit
02:31:03.570856 IP6 fe80::feec:daff:fe45:759b.546 > ff02::1:2.547: dhcp6 solicit
02:31:05.782812 IP6 fe80::feec:daff:fe45:759b.546 > ff02::1:2.547: dhcp6 solicit
02:31:10.297374 IP6 fe80::feec:daff:fe45:759b.546 > ff02::1:2.547: dhcp6 solicit
02:31:19.627835 IP6 fe80::feec:daff:fe45:759b.546 > ff02::1:2.547: dhcp6 solicit
Dans le passé, il m'est déjà arrivé après un update d'avoir de l'ipv6 un ou deux jours plus tard sans rien faire. Est-ce possible que ce soit le cas ici (un timer côté Orange qui expire ou quelque chose comme ça ? dans ce cas là un moyen de forcer le reset?).
Merci beaucoup d'avance pour l'aide apportée.
EDIT :
Suite à un reboot de l'ont, l'échange DHCPv6 s'est bien effectué.
Comment puis-je savoir quel est mon prefixe ipv6 ? Car le script de ce tuto https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/]https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox ne semble pas marcher (du moins dans mon cas).
Bon du coup le prefixe IPv6 est le même que précédemment. J'ai donc appliqué manuellement les adresses IPv6 à mes interfaces et cela fonctionne bien comme prévu.
Je me demande donc : Comment connaitre mon prefixe IPv6, si jamais il change ? Et si quelqu'un peut me donner un coup de main sur le script qui ne semble pas donner les adresses aux interfaces.
-
Comment puis-je savoir quel est mon prefixe ipv6 ? Car le script de ce tuto https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/]https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox ne semble pas marcher (du moins dans mon cas).
A ma connaissance, on ne peut connaître son préfixe qu'en écoutant les requêtes RA du DHCP.
La logique est : je demande une adresse au DHCP, le serveur m'envoie une réponse avec mon adresse /56.
Le script fonctionne, c'est sûr. Il faut surtout faire attention à la configuration ipv6 du routeur. Il ne doit y avoir aucune config liée à IPv6 (donc pas de : set interfaces ethernet xxx ipv6 xxx, set protocols static route6 xxx, ...) , sauf peut-être vérifier que le support global IPv6 est activé et vérifier le firewall ipv6 pour l'interface WAN 832.
Pour rappel, il faut autoriser dans le firewall ipv6 sur l'interface WAN 832 local: destination port 546 / source port 547 / proto udp + icpv6.
On a déjà vu dans certains posts de ce forum qu'Orange ne communiquait pas à chaque fois la route par défaut et qu'il fallait parfois attendre 20 minutes.
sudo journalctl -t dhclient6 ne donne rien ? Peut-être que le script n'est pas déclenché ?! Voir s'il est bien copié dans /etc/dhcp3/dhclient-exit-hooks.d avec les accès qui vont bien (genre rx pour root:root). Il n'est pas là pour les erreurs mais plus pour remonter des infos.
Les fichiers dhclient6_eth1_832.leases et dhclient6_eth1_832.pid sont générés par dhclient, il ne faut pas s'en inquiéter.
-
Je me demande donc : Comment connaitre mon prefixe IPv6, si jamais il change ? Et si quelqu'un peut me donner un coup de main sur le script qui ne semble pas donner les adresses aux interfaces.
Plutôt que mettre en dur un préfixe sachant que ça va tout casser au prochain changement (certes ils sont rares), il est sans doute plus opportun d’essayer de comprendre pourquoi le script ne fonctionne pas comme il devrait et le corriger ;)
Le préfixe retourné par le serveur DHCP6 d’orange est forcément disponible dans une variable d’environnement (puisque c’est comme ça que fonctionnement les scripts de dhclient).
-
On a déjà vu dans certains posts de ce forum qu'Orange ne communiquait pas à chaque fois la route par défaut et qu'il fallait parfois attendre 20 minutes.
Chez Orange la route par défaut n’est JAMAIS dans la réponse DHCP, mais est transmise par un RA, qui n’est émis que lorsque l’équipement du client émet un DHCP Solicit avec une option 90 valide. Si pour une raison X ou Y ce RA initial est ignoré par le routeur (c’est le cas chez moi et je n’ai jamais creusé), alors le suivant n’arrive que 20 minutes plus tard, et donc IPv6 est non fonctionnel pendant cette période (pas de route par défaut...).
Du coup chez moi j’ai une route par défaut statique (vu que c’est une adresse link local bien connue de toute façon, fe80::ba0:bab).
-
quand j'enable le dnsmsas, mes dns (sans .local) fonctionnent bien sur les pc en win (10 et 7), par contre les sites orange.fr... sont sont plus accessibles ; c'est bien lié à cela et non au wifi: j'ai bien re-testé avec un PC et un câble.^
Cela semble mentionné ici https://lafibre.info/remplacer-livebox/pas-de-resolution-de-orange-fr-lb-remplacee-par-edgerouter/msg639281/#msg639281 (https://lafibre.info/remplacer-livebox/pas-de-resolution-de-orange-fr-lb-remplacee-par-edgerouter/msg639281/#msg639281)
Mais je n'ai pas trop compris comment mettre en oeuvre la solution et si une solution est vraiment donnée (j'ai déjà essayé les dns de ma LB en DNS1 et DNS2 sur le LAN, sans effet. Pour le moment, j'ai mis DNS1 = 192.168.10.1 et DNS2 = 9.9.9.9.
Je n'ai pas trop compris l'intérêt d'avoir dnsmsas enabled, à part que mes dns locaux seraient ok sans mettre .local à la fin ; j'ai crû comprendre qu'il pouvait y avoir des optimisations.
Sur le pourquoi c'est tombé en marche... J'ai re-coché Enable IPv6 support dans system, et cela fonctionne encore. c'est donc probablement dû aux autres actions pour désactiver IPv6 car dans le post du début, il est mentionné eth1, eth2... dans les fichiers et comme la TV est sur eth3 cala peut poser des problèmes
En fait, le plus important est que la Livebox et le décodeur utilisent les DNS orange. Vu qu'ils sont sur des interfaces différentes, ce n'est pas compliqué de changer les DNS pour chaque interface dans la configuration de chaque DHCP. A toi de voir ce que tu préfères :
1) tu demandes au routeur de récupérer les DNS fournis par le DHCP Orange puis tu indiques dans chacun de tes serveurs DHCP les DNS que tu veux. Donc soit l'IP du routeur pour utiliser les DNS Orange récupérés soit le serveur de ton choix (par ex 8.8.8.8).
2) tu indiques au routeur les DNS de ton choix. Puis tu indiques dans chaque serveur DHCP les DNS que tu veux : donc soit l'IP du routeur pour utiliser les DNS de ton choix, soit ceux d'Orange pour les interfaces avec Livebox et Décodeur TV.
3) tu n'utilises pas du tout les DNS du routeur pour relayer les demandes et tu saisies dans chacun de tes serveurs DHCP, les serveurs de DNS que tu veux.
4) autres solutions possibles comme utiliser ton propre serveur DNS ...
Bizarre que les DNS orange.fr ne fonctionnent pas... Comme je proposais, il faudrait faire un diagnostic DNS avec nslookup sur tes PC windows. De base, nslookup utilise les DNS fournis par le serveur DHCP. Mais nslookup permet de changer le serveur DNS à la volée avec la commande "server x.X.x.x" puis tu tapes "www.orange.fr" et il te renvoie les adresses IPv4/IPv6 correspondantes, fournies par le serveur DNS.
Dans nslookup, tu peux aussi faire un "set debug" pour avoir le détail des requêtes DNS.
> www.orange.fr
Serveur : dns.google
Address: 8.8.8.8
------------
Got answer:
HEADER:
opcode = QUERY, id = 3, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
www.orange.fr.home.loc, type = A, class = IN
AUTHORITY RECORDS:
-> (root)
ttl = 86398 (23 hours 59 mins 58 secs)
primary name server = a.root-servers.net
responsible mail addr = nstld.verisign-grs.com
serial = 2020110200
refresh = 1800 (30 mins)
retry = 900 (15 mins)
expire = 604800 (7 days)
default TTL = 86400 (1 day)
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 4, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
www.orange.fr.home.loc, type = AAAA, class = IN
AUTHORITY RECORDS:
-> (root)
ttl = 86396 (23 hours 59 mins 56 secs)
primary name server = a.root-servers.net
responsible mail addr = nstld.verisign-grs.com
serial = 2020110200
refresh = 1800 (30 mins)
retry = 900 (15 mins)
expire = 604800 (7 days)
default TTL = 86400 (1 day)
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 5, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 3, authority records = 0, additional = 0
QUESTIONS:
www.orange.fr, type = A, class = IN
ANSWERS:
-> www.orange.fr
canonical name = www.orange.fr.multis.x-echo.com
ttl = 2743 (45 mins 43 secs)
-> www.orange.fr.multis.x-echo.com
canonical name = hpo-main.prod.hporange.gslb.fti.net
ttl = 88 (1 min 28 secs)
-> hpo-main.prod.hporange.gslb.fti.net
internet address = 193.252.122.103
ttl = 29 (29 secs)
------------
Réponse ne faisant pas autorité :
------------
Got answer:
HEADER:
opcode = QUERY, id = 6, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 3, authority records = 0, additional = 0
QUESTIONS:
www.orange.fr, type = AAAA, class = IN
ANSWERS:
-> www.orange.fr
canonical name = www.orange.fr.multis.x-echo.com
ttl = 3386 (56 mins 26 secs)
-> www.orange.fr.multis.x-echo.com
canonical name = hpo-main.prod.hporange.gslb.fti.net
ttl = 218 (3 mins 38 secs)
-> hpo-main.prod.hporange.gslb.fti.net
AAAA IPv6 address = 2a01:c9c0:a3:8::4
ttl = 15 (15 secs)
------------
Nom : hpo-main.prod.hporange.gslb.fti.net
Addresses: 2a01:c9c0:a3:8::4
193.252.122.103
Aliases: www.orange.fr
www.orange.fr.multis.x-echo.com
> exit
C:\Users\matthieu>nslookup
Serveur par dÚfaut : ds918p
Address: 192.168.3.90
> server 8.8.8.85
Serveur par dÚfaut : [8.8.8.85]
Address: 8.8.8.85
> server 8.8.8.8
DNS request timed out.
timeout was 2 seconds.
Serveur par dÚfaut : [8.8.8.8]
Address: 8.8.8.8
> www.orange.fr
Serveur : [8.8.8.8]
Address: 8.8.8.8
Réponse ne faisant pas autorité :
Nom : hpo-main.prod.hporange.gslb.fti.net
Addresses: 2a01:c9c0:a3:8::4
193.252.122.103
Aliases: www.orange.fr
www.orange.fr.multis.x-echo.com
> server 192.168.3.1
Serveur par dÚfaut : [192.168.3.1]
Address: 192.168.3.1
> www.orange.fr
Serveur : [192.168.3.1]
Address: 192.168.3.1
Réponse ne faisant pas autorité :
Nom : hpo-main.prod.hporange.gslb.fti.net
Addresses: 2a01:c9c0:a3:8::4
193.252.148.241
Aliases: www.orange.fr
www.orange.fr.multis.x-echo.com
> set debug
>
C:\Users\matthieu>nslookup
Serveur par dÚfaut : ds918p
Address: 192.168.3.90
> set debug
> server 8.8.8.8
------------
Got answer:
HEADER:
opcode = QUERY, id = 2, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 1, authority records = 0, additional = 0
QUESTIONS:
8.8.8.8.in-addr.arpa, type = PTR, class = IN
ANSWERS:
-> 8.8.8.8.in-addr.arpa
name = dns.google
ttl = 78944 (21 hours 55 mins 44 secs)
------------
Serveur par dÚfaut : dns.google
Address: 8.8.8.8
> www.orange.fr
Serveur : dns.google
Address: 8.8.8.8
------------
Got answer:
HEADER:
opcode = QUERY, id = 3, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
www.orange.fr.home.loc, type = A, class = IN
AUTHORITY RECORDS:
-> (root)
ttl = 86397 (23 hours 59 mins 57 secs)
primary name server = a.root-servers.net
responsible mail addr = nstld.verisign-grs.com
serial = 2020110200
refresh = 1800 (30 mins)
retry = 900 (15 mins)
expire = 604800 (7 days)
default TTL = 86400 (1 day)
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 4, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 1, additional = 0
QUESTIONS:
www.orange.fr.home.loc, type = AAAA, class = IN
AUTHORITY RECORDS:
-> (root)
ttl = 86394 (23 hours 59 mins 54 secs)
primary name server = a.root-servers.net
responsible mail addr = nstld.verisign-grs.com
serial = 2020110200
refresh = 1800 (30 mins)
retry = 900 (15 mins)
expire = 604800 (7 days)
default TTL = 86400 (1 day)
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 5, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 3, authority records = 0, additional = 0
QUESTIONS:
www.orange.fr, type = A, class = IN
ANSWERS:
-> www.orange.fr
canonical name = www.orange.fr.multis.x-echo.com
ttl = 3480 (58 mins)
-> www.orange.fr.multis.x-echo.com
canonical name = hpo-main.prod.hporange.gslb.fti.net
ttl = 237 (3 mins 57 secs)
-> hpo-main.prod.hporange.gslb.fti.net
internet address = 193.252.122.103
ttl = 15 (15 secs)
------------
Réponse ne faisant pas autorité :
------------
Got answer:
HEADER:
opcode = QUERY, id = 6, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 3, authority records = 0, additional = 0
QUESTIONS:
www.orange.fr, type = AAAA, class = IN
ANSWERS:
-> www.orange.fr
canonical name = www.orange.fr.multis.x-echo.com
ttl = 3529 (58 mins 49 secs)
-> www.orange.fr.multis.x-echo.com
canonical name = hpo-main.prod.hporange.gslb.fti.net
ttl = 202 (3 mins 22 secs)
-> hpo-main.prod.hporange.gslb.fti.net
AAAA IPv6 address = 2a01:c9c0:a3:8::4
ttl = 14 (14 secs)
------------
Nom : hpo-main.prod.hporange.gslb.fti.net
Addresses: 2a01:c9c0:a3:8::4
193.252.122.103
Aliases: www.orange.fr
www.orange.fr.multis.x-echo.com
Du coup chez moi j’ai une route par défaut statique (vu que c’est une adresse link local bien connue de toute façon, fe80::ba0:bab).
J'avais eu des problèmes avec cette route par défaut qui tombait en failed ... Je me rappelle que la route était créée avec un vieux protocole aussi ...
Mais tu as certainement raison (pour mon cas perso) et que ce n'est qu'un problème lié à l'option 90, après tout, tu connais mieux le sujet que moi ;)
-
Plutôt que mettre en dur un préfixe sachant que ça va tout casser au prochain changement (certes ils sont rares), il est sans doute plus opportun d’essayer de comprendre pourquoi le script ne fonctionne pas comme il devrait et le corriger ;)
Le préfixe retourné par le serveur DHCP6 d’orange est forcément disponible dans une variable d’environnement (puisque c’est comme ça que fonctionnement les scripts de dhclient).
J'essaye justement de comprendre via mes questions, j'ai du tout de même me débloquer temporairement en attendant de voir où se situe le problème.
A ma connaissance, on ne peut connaître son préfixe qu'en écoutant les requêtes RA du DHCP.
La logique est : je demande une adresse au DHCP, le serveur m'envoie une réponse avec mon adresse /56.
Le script fonctionne, c'est sûr. Il faut surtout faire attention à la configuration ipv6 du routeur. Il ne doit y avoir aucune config liée à IPv6 (donc pas de : set interfaces ethernet xxx ipv6 xxx, set protocols static route6 xxx, ...) , sauf peut-être vérifier que le support global IPv6 est activé et vérifier le firewall ipv6 pour l'interface WAN 832.
Pour rappel, il faut autoriser dans le firewall ipv6 sur l'interface WAN 832 local: destination port 546 / source port 547 / proto udp + icpv6.
On a déjà vu dans certains posts de ce forum qu'Orange ne communiquait pas à chaque fois la route par défaut et qu'il fallait parfois attendre 20 minutes.
sudo journalctl -t dhclient6 ne donne rien ? Peut-être que le script n'est pas déclenché ?! Voir s'il est bien copié dans /etc/dhcp3/dhclient-exit-hooks.d avec les accès qui vont bien (genre rx pour root:root). Il n'est pas là pour les erreurs mais plus pour remonter des infos.
Les fichiers dhclient6_eth1_832.leases et dhclient6_eth1_832.pid sont générés par dhclient, il ne faut pas s'en inquiéter.
J'ai bien l'impression que le script ne se déclanche pas, car je n'ai vraiment rien dans les logs de la commande sudo journalctl -t dhclient6
.
Je vais donc vérifier les droits d'accès au script comme suggéré.
Pour le reste (support ipv6, route par defaut etc..), tout semble OK vu que le simple ajout de l'adresse sur l'interface a permit de regagner un accès ipv6.
-
il faudrait faire un diagnostic DNS avec nslookup sur tes PC windows. De base, nslookup utilise les DNS fournis par le serveur DHCP. Mais nslookup permet de changer le serveur DNS à la volée avec la commande "server x.X.x.x" puis tu tapes "www.orange.fr" et il te renvoie les adresses IPv4/IPv6 correspondantes, fournies par le serveur DNS.
Dans nslookup, tu peux aussi faire un "set debug" pour avoir le détail des requêtes DNS.
Voici ce que cela donne sur le LAN (pour les autres LB et TV, c'est ok de la façon que c'est fait)
Dans la cas du "service dhcp-server use-dnsmasq disable"
www.orange.fr
Server: UnKnown
Address: 192.168.10.1
------------
Got answer:
HEADER:
opcode = QUERY, id = 2, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 0, additional = 0
QUESTIONS:
www.orange.fr.local, type = A, class = IN
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 3, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 0, additional = 0
QUESTIONS:
www.orange.fr.local, type = AAAA, class = IN
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 4, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 3, authority records = 0, additional = 0
QUESTIONS:
www.orange.fr, type = A, class = IN
ANSWERS:
-> www.orange.fr
canonical name = www.orange.fr.multis.x-echo.com
ttl = 3358 (55 mins 58 secs)
-> www.orange.fr.multis.x-echo.com
canonical name = hpo-main.prod.hporange.gslb.fti.net
ttl = 222 (3 mins 42 secs)
-> hpo-main.prod.hporange.gslb.fti.net
internet address = 193.252.148.241
ttl = 29 (29 secs)
------------
Non-authoritative answer:
------------
Got answer:
HEADER:
opcode = QUERY, id = 5, rcode = NOERROR
header flags: response, want recursion, recursion avail.
questions = 1, answers = 3, authority records = 0, additional = 0
QUESTIONS:
www.orange.fr, type = AAAA, class = IN
ANSWERS:
-> www.orange.fr
canonical name = www.orange.fr.multis.x-echo.com
ttl = 3009 (50 mins 9 secs)
-> www.orange.fr.multis.x-echo.com
canonical name = hpo-main.prod.hporange.gslb.fti.net
ttl = 49 (49 secs)
-> hpo-main.prod.hporange.gslb.fti.net
AAAA IPv6 address = 2a01:c9c0:a3:8::4
ttl = 29 (29 secs)
------------
Name: hpo-main.prod.hporange.gslb.fti.net
Addresses: 2a01:c9c0:a3:8::4
193.252.148.241
Aliases: www.orange.fr
www.orange.fr.multis.x-echo.com
Dans la cas du "service dhcp-server use-dnsmasq enable"
Il y a eu un emessage: [Warning] DHCP subnet 192.168.30.0/24 is configured on interface eth0.832,
but this is not configured under service dns forwarding listen-on.
Configuring dnsmasq so that it will also listen on this interface
www.orange.fr
Server: UnKnown
Address: 192.168.10.1
------------
Got answer:
HEADER:
opcode = QUERY, id = 2, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 0, additional = 0
QUESTIONS:
www.orange.fr.local, type = A, class = IN
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 3, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 0, additional = 0
QUESTIONS:
www.orange.fr.local, type = AAAA, class = IN
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 4, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 0, additional = 0
QUESTIONS:
www.orange.fr, type = A, class = IN
------------
------------
Got answer:
HEADER:
opcode = QUERY, id = 5, rcode = NXDOMAIN
header flags: response, want recursion, recursion avail.
questions = 1, answers = 0, authority records = 0, additional = 0
QUESTIONS:
www.orange.fr, type = AAAA, class = IN
------------
*** UnKnown can't find www.orange.fr: Non-existent domain
-
Voici ce que cela donne sur le LAN (pour les autres LB et TV, c'est ok de la façon que c'est fait)
Ok, je pense savoir d'où cela vient : dans shared-network-name Livebox tu as :
shared-network-name Livebox {
...
domain-name orange.fr
...
}
En fait, dnsmasq va rechercher tous les noms du domaine orange.fr dans ton pool DHCP Livebox dans ton réseau local.
Supprime le domain name et ça devrait rentrer dans l'ordre.
Pour ton warning, effectivement tu ne transfères pas les demandes DNS sur ton pool DHCP Livebox. Toutefois, tu spécifies bien les DNS Orange, donc, tu peux ignorer ce message. Si tu avais indiquer l'adresse du routeur (192.168.30.1), tu n'aurais effectivement pas eu de résolution DNS, donc impossible de résoudre les adresses genre www.orange.fr
-
En fait, dnsmasq va rechercher tous les noms du domaine orange.fr dans ton pool DHCP Livebox dans ton réseau local.
Supprime le domain name et ça devrait rentrer dans l'ordre.
J'aime bien les solutions où l'on enlève plutôt que d'ajouter ;-)
Cela résout bien le problème de l'appel à www.orange.fr, je remets dnsmasq enable, mais la LB ne se connecte plus au réseau "incident réseau" et la TV ne démarre pas "G03 modèle de Livebox incompatible avec le décodeur"
Je remets la config sur www.orange.fr et la TV ne redémarre pas non plus !!! et la LB est en rouge
J'arrête tout ONT, LB, TV, ER et redémarre, ça finit par démarrer (config sans orange.fr) et TV ok, LB en rouge
Je refait un test avec orange.fr avec dnsmasq, avec un arrêt complet (peut-être en désordre?)=> pas de TV
J'enlève dnsmasq, la TV fonctionne, le tel fonctionne, LB en vert ; je redémarre la TV, ne marche pas!
J'enlève dnsmasq, la TV fonctionne.
Voici un résumé des tests, un peu plus en fait pour commencer à comprendre ce qui a de l'influence, avec un étage à monter et descendre à chaque fois, ça fait un peu activité ;-)
Ce qui semble avoir de l'influence: dnsmasq, orange.fr, et l'arrêt / redémarrage des différents éléments, l'ordre de redémarrage, et même des temps d'attente.
A priori dnsmasq enable et absence d'orange.fr est incompatible.
Pour pouvoir faire des tests plus précis (plus rigoureux aussi, les précédents sont peut-être imprécis), il me faudrait savoir dans quel ordre il faut redémarrer les éléments, lesquels et les temps d'attente
-
il me faudrait savoir dans quel ordre il faut redémarrer les éléments, lesquels et les temps d'attente
Alors, perso, j'aurais supprimé orange.fr, activé dnsmasq puis j'aurais redémarré. Mais avant ça, ajoutes les commandes ci-dessous :
set interfaces ethernet eth0 vif 832 dhcp-options name-server update
set service dhcp-server shared-network-name Livebox subnet 192.168.30.0/24 subnet-parameters "option domain-search "NCY.access.orange-multimedia.net.";"
set service dhcp-server shared-network-name Livebox subnet 192.168.30.0/24 subnet-parameters "option domain-name "orange.fr";"
C'est ce que j'ai dans ma config : "name-server update" pour être sûr que le DHCP envoie les DNS à la Livebox + les options domain-search et domain-name parce que c'est le comportement du DHCP Orange.
Tu peux aussi redémarrer le service igmp-proxy: sudo systemctl restart igmp-proxy ou plus simplement directement au shell du routeur : restart igmp-proxy (pas dans la config hein)
-
set interfaces ethernet eth0 vif 832 dhcp-options name-server update
set service dhcp-server shared-network-name Livebox subnet 192.168.30.0/24 subnet-parameters "option domain-search "NCY.access.orange-multimedia.net.";"
set service dhcp-server shared-network-name Livebox subnet 192.168.30.0/24 subnet-parameters "option domain-name "orange.fr";"
FAIT
C'est ce que j'ai dans ma config : "name-server update" pour être sûr que le DHCP envoie les DNS à la Livebox + les options domain-search et domain-name parce que c'est le comportement du DHCP Orange.
Pas sûr de tout comprendre...
redémarrer le service igmp-proxy: sudo systemctl restart igmp-proxy ou plus simplement directement au shell du routeur : restart igmp-proxy
restart igmp-proxy fonctionne
aussi pidof igmpproxy pour vérifier si ça tourne avant de redémarrer?
MAIS "sudo systemctl restart igmp-proxy" => Failed to restart igmp-proxy.service: Unit igmp-proxy.service not found.
Pour les tests:
avec la conf dont use-dnsmasq enable => LB en rouge et TV KO (après redémarrage de tout sauf l'ONT
avec use-dnsmasq disable => LB en vert "immédiatement" et TV OK après redémarrage du décodeur seulement
la conf
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WANv6 inbound traffic forwarded to LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WANv6 inbound traffic to the router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-name WANv6_OUT {
default-action accept
description "WANv6 outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 30 {
action accept
description "Allow IGMP"
log disable
protocol igmp
}
rule 40 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
description "WAN outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description "eth0 - Livebox"
duplex auto
speed auto
vif 832 {
address 192.168.30.1/24
description "eth0.832 - Internet + VoIP"
dhcp-options {
default-route update
default-route-distance 210
name-server update
}
}
}
ethernet eth1 {
description "eth1 - ONT"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 - Internet + VoIP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 01:...:5C;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication, domain-search, SIP-servers, Vendor-Specific-Information;"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:0...:b6:a3:15:ab:aa:e3:14:e7;"
default-route update
default-route-distance 210
global-option "option rfc3118-authentication code 90 = string;"
global-option "option SIP-servers code 120 = string;"
global-option "option Vendor-Specific-Information code 125 = string;"
name-server no-update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
out {
ipv6-name WANv6_OUT
name WAN_OUT
}
}
}
vif 840 {
address 192.168.40.1/24
description "eth1.840 - TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 - LAN"
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
}
ethernet eth3 {
address 192.168.20.1/24
description "eth3 - TV"
duplex auto
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
ethernet eth5 {
duplex auto
speed auto
}
ethernet eth6 {
duplex auto
speed auto
}
ethernet eth7 {
duplex auto
speed auto
}
ethernet eth8 {
duplex auto
speed auto
}
ethernet eth9 {
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
mtu 1500
}
}
protocols {
igmp-proxy {
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth3 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
dns-server 9.9.9.9
domain-name local
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
static-mapping CRIOS {
ip-address 192.168.10.201
mac-address 00:11:32:35:df:b4
}
static-mapping CRIOS107 {
ip-address 192.168.10.203
mac-address 00:11:32:03:62:98
}
static-mapping CRIOS210 {
ip-address 192.168.10.202
mac-address 00:11:32:07:bb:3f
}
static-mapping ReolinkCam1 {
ip-address 192.168.10.116
mac-address ec:71:db:68:de:4d
}
static-mapping epsCuve {
ip-address 192.168.10.114
mac-address 68:c6:3a:a6:5b:e1
}
static-mapping erato {
ip-address 192.168.10.111
mac-address b8:27:eb:7d:00:36
}
static-mapping hestia {
ip-address 192.168.10.112
mac-address b8:27:eb:25:53:b5
}
static-mapping lmsSalon {
ip-address 192.168.10.115
mac-address b8:27:eb:42:7b:aa
}
static-mapping switchStudio {
ip-address 192.168.10.101
mac-address bc:cf:4f:fc:69:99
}
static-mapping vito {
ip-address 192.168.10.113
mac-address b8:27:eb:13:3a:55
}
static-mapping wapChambre {
ip-address 192.168.10.104
mac-address 1c:87:2c:66:5a:30
}
static-mapping wapSalon {
ip-address 192.168.10.103
mac-address 04:d9:f5:92:fc:88
}
static-mapping wapStudio {
ip-address 192.168.10.105
mac-address a8:5e:45:96:80:70
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.30.0/24 {
default-router 192.168.30.1
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.30.30 {
stop 192.168.30.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option domain-search "NCY.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
shared-network-name TV {
authoritative disable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.20.30 {
stop 192.168.20.50
}
subnet-parameters "option Vendor-specific 00:00:0d:e9:28:04:06:46:38:30:38:34:46:05:0f:4c:4b:31:39:32:32:36:44:50:39:39:32:37:31:35:06:0d:4c:69:76:65:62:6f:78:20:46:69:62:72:65;"
}
}
static-arp disable
use-dnsmasq enable
}
dns {
forwarding {
cache-size 200
listen-on eth2
listen-on eth3
name-server 1.1.1.1
name-server 1.0.0.1
name-server 8.8.8.8
name-server 8.8.4.4
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
unms {
disable
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name local
host-name EdgeRouter
ipv6 {
}
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 9.9.9.9
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
static-host-mapping {
host-name cam1reolink {
alias ReolinkCam1.local
alias cam1Reolink.local
inet 192.168.10.116
}
host-name clio {
alias clio.local
alias kodi.local
inet 192.168.10.117
}
host-name crios {
alias crios.local
alias crios.bris.fr
inet 192.168.10.201
}
host-name crios107 {
alias CRIOS107.local
inet 192.168.10.203
}
host-name crios210 {
alias CRIOS210.local
inet 192.168.10.202
}
host-name erato {
alias LMSChambre.local
alias erato
inet 192.168.10.111
}
host-name espcuve {
alias ESPCuve.local
inet 192.168.10.114
}
host-name hestia {
alias hestia.local
alias hestia.bris.fr
inet 192.168.10.112
}
host-name lmssalon {
alias lmsSalon.local
inet 192.168.10.115
}
host-name switchstudio {
alias switchStudio.local
inet 192.168.10.101
}
host-name vito {
alias vito
inet 192.168.10.113
}
host-name wapchambre {
alias wapChambre.local
inet 192.168.10.104
}
host-name wapsalon {
alias wapSalon.local
inet 192.168.10.103
}
host-name wapstudio {
alias wapStudio.local
inet 192.168.10.105
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1641 */
Pour résumer avec dnsmasq enable pas de TV
-
Bon, il y a bien un problème avec dnsmasq que je ne comprends pas. Son rôle est de résoudre les DNS ET ....... d'agir en tant que serveur DHCP.
En y réfléchissant, c'est certainement le second point qui pose problème. Je ne connais pas la partie DHCP dnsmasq, mais il est fort probable qu'il ne puisse pas envoyer correctement les options qui vont bien....
D'ailleurs, en cherchant sur le site d'Ubiquiti : https://help.ui.com/hc/en-us/articles/115002673188-EdgeRouter-DHCP-Server-Using-Dnsmasq (https://help.ui.com/hc/en-us/articles/115002673188-EdgeRouter-DHCP-Server-Using-Dnsmasq) et https://help.ui.com/hc/en-us/articles/115010913367#2 (https://help.ui.com/hc/en-us/articles/115010913367#2), on constate bien que use la commande set service dhcp-server use-dnsmasq enable active non pas le DNS mais le DHCP...
En vérifiant sur mon routeur sudo systemctl status dnsmasq, j'ai bien "active (running)"... Donc il semblerait qu'il tourne au moins pour la partie DNS... Il doit y avoir une autre configuration
J'allais te dire qu'en fait il faut vérifier que les DNS pour la box Orange sont bien résolus ou si tu fais chou blanc, il faut capturer les paquets. Mais il vaudrait mieux chercher sur le forum si dnsmasq permet d'envoyer correctement les options DHCP...
Pour info, il n'y a pas de tiret à sudo systemctl restart igmpproxy. Tu peux d'ailleurs faire un sudo systemctl status igmpproxy pour contrôler le statut du service.
Les décodeurs TV Orange utilisent des DNS hébergés uniquement chez Orange comme ceux ci (que j'ai récupéré dans un dump des paquets envoyés par la box TV) :
cdn.servicediscovery.cdnfr.orange.fr
servicediscovery.stb.orion.itv.orange.fr
oras.vci.pgw.orange.fr
Dans certains cas, les serveurs non Orange, vont soit renvoyer un nom inexistant sur le domaine soit des IP différentes d'Orange.
Donc, si c'est lié à dnsmasq une solution serait de :
1) Désactiver dnsmasq
2) Configurer le routeur pour récupérer les DNS orange au lieu d'utiliser les DNS 8.8.8.8 1.1.1.1 ...
3) Configurer le DNS du routeur sur les DHCP de la Livebox et du décodeur
4) Configurer ton propre serveur DNS sur les autres serveurs DHCP
L'autre serait de mieux comprendre le fonctionnement de dnsmasq et comment son annuaire est construit avec le DHCP... Je regarderai ça plus tard.
-
Ma réponse est tradive car ton post est dense et hors de portée en ce qui me concerne sur certains points, mais je me documente... ça va être long!
Ce que fait mon dnsmasq
nsmasq.service - dnsmasq - A lightweight DHCP and caching DNS server
Loaded: loaded (/lib/systemd/system/dnsmasq.service; disabled; vendor preset: enabled)
Active: active (running) since Thu 2020-11-05 21:52:57 CET; 11min ago
Process: 6712 ExecStart=/etc/init.d/dnsmasq systemd-exec (code=exited, status=0/SUCCESS)
Main PID: 6720 (dnsmasq)
CGroup: /system.slice/dnsmasq.service
`-6720 /usr/sbin/dnsmasq -x /run/dnsmasq/dnsmasq.pid -u dnsmasq -7 /etc/dnsmasq.d,.dpkg-dist,.dpkg-old,.dpkg-new -
Nov 05 21:52:57 EdgeRouter systemd[1]: Starting dnsmasq - A lightweight DHCP and caching DNS server...
dnsmasq qui fait le DHCP, mais le mélange des 2 est peut-être encore buggé!?
Comme je ne comprends pas tout ce que tu écris au vu de mes connaissances du domaine, je commence à lire cela
https://github.com/mjp66/Ubiquiti/blob/master/Ubiquiti%20Home%20Network.pdf (https://github.com/mjp66/Ubiquiti/blob/master/Ubiquiti%20Home%20Network.pdf)
J'en suis au 1ere pages... mais, j'ai vu ce lien https://loganmarchione.com/2016/08/edgerouter-lite-dnsmasq-setup/ (https://loganmarchione.com/2016/08/edgerouter-lite-dnsmasq-setup/) ... "For dnsmasq to be setup properly, you need to have DNS setup to listen on certain interfaces...", je n'ai pas approfondi.
Donc, si c'est lié à dnsmasq une solution serait de...
en fait si je désactive le dnsmasq, tout fonctionne bien si je rajoute .local avec la fin des alias des static host names
J'avais trouvé comment éviter cela avec hostfile-update enable,que j'avais bien testé par des pings et autre http dans la journée, mais le décodeur boucle sur le démarrage (test du soir, désespoir!). In fine, je vais remettre tout les .local à la fin des alias pour pouvoir accéder aux serveurs depuis windows (c'était ok depuis linux, fonctionnement différent!?!). Je trouve que je n'ai pas une grande constance dans le résultat des tests (j'ai désactive dnsmasq et j'arrive à ping un serveur qui n'a pas .local à la fin!), des commandes à passer pour réinitialiser le réseau, attendre un jour, nettoyer mon PC?
-
In fine, je vais remettre tout les .local à la fin des alias pour pouvoir accéder aux serveurs depuis windows (c'était ok depuis linux, fonctionnement différent!?!). Je trouve que je n'ai pas une grande constance dans le résultat des tests (j'ai désactive dnsmasq et j'arrive à ping un serveur qui n'a pas .local à la fin!), des commandes à passer pour réinitialiser le réseau, attendre un jour, nettoyer mon PC?
Bon j'ai fait quelques tests et je n'ai pas réussi à faire fonctionner le serveur dns de l'EdgeRouter. Toutefois c'est peut-être lié à ma configuration (le fait que je récupère les dns Orange). Et je ne veux pas trop bidouiller ma configuration...
Je te propose de tester les options suivantes :
set service dhcp-server hostfile-update enable
set system domain-name local
set system name-server 127.0.0.1
set service dns forwarding options expand-hosts
set service dns forwarding options localise-queries
set service dns forwarding options domain-needed
set service dhcp-server shared-network-name LAN subnet 192.168.10.0/24 domain-name local
Peut-être poster le contenu du fichier /etc/dnsmasq.conf et des commandes suivantes show dns forwarding nameservers et show dns forwarding statistics :
ubnt@ER-6P:~$ show dns forwarding nameservers
-----------------------------------------------
Nameservers configured for DNS forwarding
-----------------------------------------------
81.253.149.13 available via 'dhcp eth0.832'
80.10.246.5 available via 'dhcp eth0.832'
ubnt@ER-6P:~$ show dns forwarding statistics
----------------
Cache statistics
----------------
Cache size: 1000
Queries forwarded: 22
Queries answered locally: 1
Total DNS entries inserted into cache: 80
DNS entries removed from cache before expiry: 0
---------------------
Nameserver statistics
---------------------
Server: 80.10.246.5
Queries sent: 13
Queries retried or failed: 0
Server: 81.253.149.13
Queries sent: 20
Queries retried or failed: 0
ubnt@ER-6P:~$
Tu peux redémarrer le service dnsmasq :
sudo systemctl restart dnsmasq
Sur tes postes Windows, peut-être faire un refresh de la config, mais rien d'autre, c'est inutile de réinstaller tes PC pour résoudre ton problème :
ipconfig /flushdns
ipconfig /renew
Tu peux tester sur le routeur avec :
root@ER-6P:~# host hostname.local -t A -4
Host hostname.local. type A error: NXDOMAIN
root@ER-6P:~# host hostname -t A -4
Host hostname. type A error: NXDOMAIN
root@ER-6P:~# host google.com -t A -4
google.com. has IPv4 address 216.58.213.142
Avec un debug, cela montre que mon routeur ne fait pas la résolution en local mais directement avec le serveur DNS Orange (81.253.149.13) :
root@ER-6P:~# host hostname.local -t A -4 -v
;; ->>HEADER<<- opcode: QUERY; status: NXDOMAIN; id: 22252
;; Flags: qr rd ra; QUERY: 1; ANSWER: 0; AUTHORITY: 1; ADDITIONAL: 0
;; QUESTION SECTION:
;; hostname.local. IN A
;; AUTHORITY SECTION:
. 3600 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2020110700 1800 900 604800 86400
;; Received 107 B
;; Time 2020-11-07 18:28:27 CET
;; From 81.253.149.13@53(UDP) in 27.3 ms
-
Je te propose de tester les options suivantes
Merci pour tes retours, voici les résultats:
J'ai séparé les tests en 3
1/ set service dhcp-server hostfile-update enable
TV fonctionne avec replay, zipping,(démarrage rapide !) => lors de mon dernier test, je n'avais peut-être pas attendu assez longtemps et cette fois cela a été rapide!
2/ + set system domain-name local
set system name-server 127.0.0.1
set service dns forwarding options expand-hosts
set service dns forwarding options localise-queries
set service dns forwarding options domain-needed
set service dhcp-server shared-network-name LAN subnet 192.168.10.0/24 domain-name local
TV fonctionne (démarrage rapide !)
ping d’un hostname depuis un PC ne fonctionne pas systématique même après ipconfig /flushdns et ipconfig /renew
Normalement avec hostfile-update enable je devrais pouvoir ping les hostnames comme mes tests précédents?
set system domain-name local
set service dhcp-server shared-network-name LAN subnet 192.168.10.0/24
domain-name local
étaient déjà là
3/ set service dhcp-server use-dnsmasq enable
(j'ai mal lu la consigne!)
TV KO Problème de Livebox code erreur : G03
J'ai enlevé par set service dhcp-server use-dnsmasq disable
puis sudo systemctl restart dnsmasq
TV OK, ping PC KO
Les résultats
cat /etc/dnsmasq.conf
#
# autogenerated by vyatta-dns-forwarding.pl on Sat Nov 7 21:32:09 CET 2020
#
log-facility=/var/log/dnsmasq.log
interface=eth2
interface=eth3
cache-size=200
server=1.1.1.1 # statically configured
server=1.0.0.1 # statically configured
server=8.8.8.8 # statically configured
server=8.8.4.4 # statically configured
expand-hosts
localise-queries
domain-needed
no-resolv
show dns forwarding nameservers
-----------------------------------------------
Nameservers configured for DNS forwarding
-----------------------------------------------
1.1.1.1 available via 'statically configured'
1.0.0.1 available via 'statically configured'
8.8.8.8 available via 'statically configured'
8.8.4.4 available via 'statically configured'
-----------------------------------------------
Nameservers NOT configured for DNS forwarding
-----------------------------------------------
9.9.9.9 available via 'system'
show dns forwarding statistics
----------------
Cache statistics
----------------
Cache size: 200
Queries forwarded: 174
Queries answered locally: 3563
Total DNS entries inserted into cache: 31
DNS entries removed from cache before expiry: 0
---------------------
Nameserver statistics
---------------------
Server: 8.8.4.4
Queries sent: 80
Queries retried or failed: 0
Server: 8.8.8.8
Queries sent: 112
Queries retried or failed: 0
Server: 1.0.0.1
Queries sent: 35
Queries retried or failed: 0
Server: 1.1.1.1
Queries sent: 46
Queries retried or failed: 0
host hostname.local -t A -4 -v
;; ->>HEADER<<- opcode: QUERY; status: NXDOMAIN; id: 63696
;; Flags: qr rd ra; QUERY: 1; ANSWER: 0; AUTHORITY: 1; ADDITIONAL: 0
;; QUESTION SECTION:
;; hostname.local. IN A
;; AUTHORITY SECTION:
. 3133 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2020110701 1800 900 604800 86400
;; Received 107 B
;; Time 2020-11-07 22:20:34 CET
;; From 9.9.9.9@53(UDP) in 11.5 ms
host google.com -t A -4 -v
;; ->>HEADER<<- opcode: QUERY; status: NOERROR; id: 16088
;; Flags: qr rd ra; QUERY: 1; ANSWER: 1; AUTHORITY: 0; ADDITIONAL: 0
;; QUESTION SECTION:
;; google.com. IN A
;; ANSWER SECTION:
google.com. 152 IN A 216.58.207.46
;; Received 44 B
;; Time 2020-11-07 22:22:47 CET
;; From 9.9.9.9@53(UDP) in 11.3 ms
-
Je me suis décidé à faire quelques tests ce matin.
Pour rappel, n'utilise en aucun cas la commande suivante :
set service dhcp-server use-dnsmasq enable
Cette option active le DHCP de dnsmasq (au lieu d'ISC) et ce dernier n'envoie pas correctement les options DHCP de ta configuration spécifique pour Orange.
Après avoir pas mal bricolé, j'ai une configuration qui devrait fonctionner pour toi :
set service dns forwarding options expand-hosts
set service dhcp-server hostfile-update enable
L'option hostfile-update enable permet, lors d'une requête DHCP, de mettre à jour le fichier /etc/hosts. L'option expand-hosts permet d'ajouter le nom de domaine automatiquement.
root@ER-6P:~# cat /etc/hosts
...
192.168.99.175 nameofhost.domain.dns #on-dhcp-event xx:xx:xx:xx:xx:xx
...
Lorsque tu fais une requête DNS, il va consulter ce fichier.
Tu peux oublier/supprimer les options suivantes :
set system name-server 127.0.0.1
set service dns forwarding options localise-queries #lorsqu'un nom se trouve sur plusieurs réseaux, cette option permet de ne renvoyer que pour le réseau à partir duquel le nom est demandé.
set service dns forwarding options domain-needed #Ne réponds que si la requête DNS est complétée par un nom de domaine.
Quelques explications pour dnsmasq :
https://doc.ubuntu-fr.org/configuration_serveur_dns_dhcp (https://doc.ubuntu-fr.org/configuration_serveur_dns_dhcp)
http://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html#:~:text=%2DR%2C%20%2D%2Dno%2Dresolv&text=Get%20upstream%20servers%20only%20from,or%20the%20dnsmasq%20configuration%20file.&text=By%20default%2C%20when%20dnsmasq%20has,queries%20to%20all%20available%20servers. (http://www.thekelleys.org.uk/dnsmasq/docs/dnsmasq-man.html#:~:text=%2DR%2C%20%2D%2Dno%2Dresolv&text=Get%20upstream%20servers%20only%20from,or%20the%20dnsmasq%20configuration%20file.&text=By%20default%2C%20when%20dnsmasq%20has,queries%20to%20all%20available%20servers.)
Enfin, au niveau des clients (tes PC et autres appareils) faire une demande DHCP, le plus simple étant de redémarrer les appareils.
-
set service dns forwarding options expand-hosts
set service dhcp-server hostfile-update enable
Merci pour les tests et la config, avec cette configuration tout fonctionne:
=> TV yc zapping ; replay ; VOD (je n'ai pas fait de location jusqu'au bout) je ne me souviens plus pour le programme (canal 0, mais ok hier)
=> Telephone
=> Ping du hostname (Static host names) à partir des PC, mais pas les alias, et surtout d'accéder aux serveurs en http pas les PC
En ce qui concerne la commande host, je ne vois pas d'écart, par exemple
host hostname.local -t A -4 -v
;; ->>HEADER<<- opcode: QUERY; status: NXDOMAIN; id: 46315
;; Flags: qr rd ra; QUERY: 1; ANSWER: 0; AUTHORITY: 1; ADDITIONAL: 0
;; QUESTION SECTION:
;; hostname.local. IN A
;; AUTHORITY SECTION:
. 899 IN SOA a.root-servers.net. nstld.verisign-grs.com. 2020110800 1800 900 604800 86400
;; Received 107 B
;; Time 2020-11-08 18:13:51 CET
;; From 9.9.9.9@53(UDP) in 12.4 ms
Est-ce grave?
La config:
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WANv6 inbound traffic forwarded to LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WANv6 inbound traffic to the router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-name WANv6_OUT {
default-action accept
description "WANv6 outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 30 {
action accept
description "Allow IGMP"
log disable
protocol igmp
}
rule 40 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
description "WAN outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description "eth0 - Livebox"
duplex auto
speed auto
vif 832 {
address 192.168.30.1/24
description "eth0.832 - Internet + VoIP"
dhcp-options {
default-route update
default-route-distance 210
name-server update
}
}
}
ethernet eth1 {
description "eth1 - ONT"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 - Internet + VoIP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 01:XXX:5C;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication, domain-search, SIP-servers, Vendor-Specific-Information;"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:YYY:e7;"
default-route update
default-route-distance 210
global-option "option rfc3118-authentication code 90 = string;"
global-option "option SIP-servers code 120 = string;"
global-option "option Vendor-Specific-Information code 125 = string;"
name-server no-update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
out {
ipv6-name WANv6_OUT
name WAN_OUT
}
}
}
vif 840 {
address 192.168.40.1/24
description "eth1.840 - TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 - LAN"
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
}
ethernet eth3 {
address 192.168.20.1/24
description "eth3 - TV"
duplex auto
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
ethernet eth5 {
duplex auto
speed auto
}
ethernet eth6 {
duplex auto
speed auto
}
ethernet eth7 {
duplex auto
speed auto
}
ethernet eth8 {
duplex auto
speed auto
}
ethernet eth9 {
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
mtu 1500
}
}
protocols {
igmp-proxy {
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth3 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update enable
shared-network-name LAN {
authoritative enable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
dns-server 9.9.9.9
domain-name local
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
static-mapping CRIOS {
ip-address 192.168.10.201
mac-address 00:11:32:35:df:b4
}
static-mapping CRIOS107 {
ip-address 192.168.10.203
mac-address 00:11:32:03:62:98
}
static-mapping CRIOS210 {
ip-address 192.168.10.202
mac-address 00:11:32:07:bb:3f
}
static-mapping Cam1Reolink {
ip-address 192.168.10.116
mac-address ec:71:db:68:de:4d
}
static-mapping epsCuve {
ip-address 192.168.10.114
mac-address 68:c6:3a:a6:5b:e1
}
static-mapping erato {
ip-address 192.168.10.111
mac-address b8:27:eb:7d:00:36
}
static-mapping hestia {
ip-address 192.168.10.112
mac-address b8:27:eb:25:53:b5
}
static-mapping lmsSalon {
ip-address 192.168.10.115
mac-address b8:27:eb:42:7b:aa
}
static-mapping switchStudio {
ip-address 192.168.10.101
mac-address bc:cf:4f:fc:69:99
}
static-mapping vito {
ip-address 192.168.10.113
mac-address b8:27:eb:13:3a:55
}
static-mapping wapChambre {
ip-address 192.168.10.104
mac-address 1c:87:2c:66:5a:30
}
static-mapping wapSalon {
ip-address 192.168.10.103
mac-address 04:d9:f5:92:fc:88
}
static-mapping wapStudio {
ip-address 192.168.10.105
mac-address a8:5e:45:96:80:70
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.30.0/24 {
default-router 192.168.30.1
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.30.30 {
stop 192.168.30.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option domain-search "NCY.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
shared-network-name TV {
authoritative disable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.20.30 {
stop 192.168.20.50
}
subnet-parameters "option Vendor-specific 00:00:0d:e9:28:04:06:46:38:30:38:34:46:05:0f:4c:4b:31:39:32:32:36:44:50:39:39:32:37:31:35:06:0d:4c:69:76:65:62:6f:78:20:46:69:62:72:65;"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 200
listen-on eth2
listen-on eth3
name-server 1.1.1.1
name-server 1.0.0.1
name-server 8.8.8.8
name-server 8.8.4.4
options expand-hosts
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
unms {
disable
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name local
host-name EdgeRouter
ipv6 {
}
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 9.9.9.9
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
static-host-mapping {
host-name cam1reolink {
alias cam1Reolink
inet 192.168.10.116
}
host-name clio {
alias clio
alias kodi
inet 192.168.10.117
}
host-name crios {
alias crios
inet 192.168.10.201
}
host-name crios107 {
alias crios107
inet 192.168.10.203
}
host-name crios210 {
alias criosS210
inet 192.168.10.202
}
host-name erato {
alias lmschambre
alias erato
alias chambre
inet 192.168.10.111
}
host-name espcuve {
alias ESPCuve
inet 192.168.10.114
}
host-name lmssalon {
alias lmssalon
inet 192.168.10.115
}
host-name switchstudio {
alias switchStudio
inet 192.168.10.101
}
host-name vito {
alias vito
inet 192.168.10.113
}
host-name wapchambre {
alias wapChambre
inet 192.168.10.104
}
host-name wapsalon {
alias wapSalon
inet 192.168.10.103
}
host-name wapstudio {
alias wapStudio
inet 192.168.10.105
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1641 */
Mes chantiers pour la suite:
1/ Réaménager les ports, car eth0 est prévu pour alimenter l'ER en POE et s'il y a la LB dessus, ce ne sera pas possible.
Plus faire la sortie du LAN sur le switch0 car j'ai plusieurs ports de libre et je pense alimenter directement les switchs pour éviter l'empilage des switchs et libérer des ports sur un switch => pour cela je pensais cloner eth2 sur le switch0 et le supprimer ensuite si ok et idem pour eth0 en le clonant vers eth2
2/ Mettre un FW la où ça manque, actuellement que sur eth1, je pensais que WAN_LOCAL était prévue pour le LAN, mais cette règle bloque le zapping si je je l'active
3/ IPv6: urgence?
-
=> Ping du hostname (Static host names) à partir des PC, mais pas les alias, et surtout d'accéder aux serveurs en http pas les PC
Tu as un appareil qui s'appelle "hostname" ? Si non, et je n'en vois pas dans ta config, tu ne peux pas faire de "ping hostname" ou "ping hostname.local".
J'ai testé les alias et ça fonctionne mais tu dois ajouter le nom de domaine (dans ton cas, par ex : au lieu de static-host-mapping host-name wapstudiowapstudio tu dois mettre static-host-mapping host-name wapstudio.local, etc,...). De plus, tu n'as pas besoin de l'option alias ou alors, il faut aussi spécifier le domaine.
Exemple :
[edit]
ubnt@ER-6P# host nom-du-pc.local 127.0.0.1 -4 -t A
Host nom-du-pc.local. type A error: NXDOMAIN
[edit]
ubnt@ER-6P# set system static-host-mapping host-name nom-du-pc.local inet 10.0.0.10
[edit]
ubnt@ER-6P# commit
[edit]
ubnt@ER-6P# sudo cat /etc/hosts | grep nom-du-pc
10.0.0.10 nom-du-pc.local #vyatta entry
[edit]
ubnt@ER-6P# host nom-du-pc.local 127.0.0.1 -4 -t A
nom-du-pc.local. has IPv4 address 10.0.0.10
[edit]
ubnt@ER-6P# host nom-du-pc. 127.0.0.1 -4 -t A
Host nom-du-pc. type A error: NXDOMAIN
[edit]
D'ailleurs, pourquoi tu ajoutes des alias alors que tu définis le même nom dans le DHCP. Par exemple, tu as dans la partie service dhcp-server shared-network-name LAN subnet 192.168.10.0/24
static-mapping wapStudio {
ip-address 192.168.10.105
mac-address a8:5e:45:96:80:70
}
et le même nom dans la partie system static-host-mapping
host-name wapstudio {
alias wapStudio
inet 192.168.10.105
}
Quand tu définis ta machine dans le static-mapping du DHCP, tu crées déjà un alias dans le DNS.
1) Pas sûr de comprendre ce que tu veux faire avec switch0. J'éviterai à ta place d'utiliser le switch sur un routeur pour garder des bonnes performances. Attention au PoE, c'est du 24V, c'est beaucoup utiliser chez Ubiquiti, très rare chez les autres constructeurs (ils utilisent le standard 802.3at/af/bt).
2) Le firewall "local" filtre ce qui est envoyé par une interface et qui va vers les services du routeur (dhcp, ssh, dns, ...). Le IN filtre tout ce qui est envoyé par une interface et qui va être "routé". Le OUT filtre tout ce qui est reçu d'une interface et qui a été "routé". Donc le WAN_LOCAL doit être configuré sur eth1 (ONT). J'ai mis un super schéma du firewall d'un ERL que j'avais trouvé sur le Net.
3) A toi de voir pour l'IPv6, mais c'est la partie la plus complexe...
-
tu n'as pas besoin de l'option alias ou alors, il faut aussi spécifier le domaine.
=> je pense que cela dépend des systèmes (win, linux, arduino) et même peut-être plus fin que cela.
J'ai donc enlevé la plupart des entrées sur les alias et il ne reste que les static-mapping comme hestia par exemple.
win => ping + http OK
arduino => le service de mise à jour d'hestia ne fonctionne plus, je ne peux pas regarder, mais la connexion doit être KO
linux
=> ping OK à partir de la ligne de commande + un service de màj d'hestia à partir d'un autre linux fonctionne
=> par contre pour nagios qui supervise les hosts et les services, tout est rouge
Donc pour hestia, par exemple, j'ai modifié pour
cat /etc/hosts | grep hestia
192.168.10.112 hestia.local #on-dhcp-event b8:27:eb:25:53:b5
192.168.10.112 hestia hestia.local #vyatta entry
win => ping + http OK
arduino => le service de mise à jour d'hestia fonctionne de nouveau
linux
=> ping OK à partir de la ligne de commande +un service de màj d'hestia à partir d'un autre linux fonctionne
=> nagios qui supervise les hosts et les services, hestia est repassé au vert sur le ping, le ssh et le http
J'ai remis des .local partout, la supervision nagios repasse au vert.
Mais, il semblerait que s'il y a plusieurs alias pour le même host (dont un sans le .local), il faut aussi mettre celui que l'on veut sans le .local pour linux (et avec pour windows)
ping lmserato
ping: lmserato: Name or service not known
ubnt@EdgeRouter:~$ ping lmserato
PING erato (192.168.10.111) 56(84) bytes of data.
64 bytes from erato.local (192.168.10.111): icmp_seq=1 ttl=64 time=0.542 ms
cat /etc/hosts | grep erato
192.168.10.111 erato.local #on-dhcp-event b8:27:eb:7d:0:36
192.168.10.111 erato lmserato lmserato.local lmschambre.local erato chambre erato.local #vyatta entry
Sur le 1er test KO, il n'y avait pas l'entrée "lmserato"
D'ailleurs, pourquoi tu ajoutes des alias alors que tu définis le même nom dans le DHCP. Par exemple, tu as dans la partie service dhcp-server shared-network-name LAN subnet 192.168.10.0/24
C'est le "résultat" de plusieurs essais... mais pas forcément aussi complet que ceux-ci, mais il semblerait que si l'entrée n'est pas présente, tout n'est pas bien vu selon les systèmes (nota: dans le post de ma config, j'avais enlevé l'entrée hestia qui était bien présente, mais avec seulement un "vrai" nom de domaine, sans la hestia tout court et sans le hestia.local et tout fonctionnait bien)
Comme ton retour est copieux, je regarderai mieux demain
-
=> je pense que cela dépend des systèmes (win, linux, arduino) et même peut-être plus fin que cela.
Du coup, je pense plutôt à un problème de configuration sur tes autres systèmes. Il est aussi fort probable que certains de tes services ne se basent pas sur la configuration de l'OS et que tu sois obligé de dire au service d'ajouter le nom de domaine à la fin de chaque demande.
Pour tes linux, tu devrais regarder au niveau de ton fichier /etc/resolv.conf que tu as bien les lignes suivantes :
domain local
search local.
-
Du coup, je pense plutôt à un problème de configuration sur tes autres systèmes. Il est aussi fort probable que certains de tes services ne se basent pas sur la configuration de l'OS et que tu sois obligé de dire au service d'ajouter le nom de domaine à la fin de chaque demande.
Pour tes linux, tu devrais regarder au niveau de ton fichier /etc/resolv.conf que tu as bien les lignes suivantes :
domain local
search local.
Dans les linux, 3 Synology (je crois que j'ai vu dans l'autre tuto que tu en a un).
le plus récent 414 crios:~$ cat /etc/resolv.conf
nameserver 192.168.10.1
domain local
plus ancien 212
CRIOS210> cat /etc/resolv.conf
nameserver 192.168.10.1
le plus ancien 107
crios107> cat /etc/resolv.conf
nameserver 192.168.10.1
nameserver 9.9.9.9
search local
le seul qui a les 2 lignes, mais qui ne sert pas vraiment!
pour le linux domotique
@hestia:~ $ cat /etc/resolv.conf
# Generated by resolvconf
domain local
nameserver 192.168.10.1
nameserver 9.9.9.9
pour un autre linux
vito:~ $ cat /etc/resolv.conf
# Generated by resolvconf
domain local
nameserver 192.168.10.1
nameserver 9.9.9.9
l'ER
EdgeRouter:~$ cat /etc/resolv.conf
nameserver 9.9.9.9
#line generated by /opt/vyatta/sbin/vyatta_update_resolv.pl
domain local
la musique
Chambre ~ $ cat /etc/resolv.conf
# Generated by resolvconf
domain local
search local.
nameserver 192.168.10.1
nameserver 9.9.9.9
Pour des systèmes que je n'ai pas modifiés, on trouve de tout!
Le . après le local pour le dernier, c'est ok ou non?
Faudrait-il modifier ce fichier pour que ça marche bien, je suppose que c'est utile pour les systèmes qui doivent être accédés par les autres?
Donc ceux ci-dessus seulement
-
Attention au PoE, c'est du 24V, c'est beaucoup utiliser chez Ubiquiti, très rare chez les autres constructeurs (ils utilisent le standard 802.3at/af/bt).
Je n'avais pas encore regardé de prêt, à part la taille des alim entre mon switch POE et celle de l'ER!
En regardant de plus prêt, pas facile d'avoir des infos, mais mon switch est un Netgear FS108P, donc 802.3at
802.3af => PoE, qui fournit jusqu’à 15,4W par port, classe 3
802.3at => PoE + (High PoE), qui fournit jusqu’à 30W par port, classe 4
Donc si l'ER nécessite 25W, effectivement c'est KO!
-
J'éviterai à ta place d'utiliser le switch sur un routeur pour garder des bonnes performances.
J'avais lu que le switch de l'ER était un vrai switch, mais sans info de performance.
Je viens de trouver cela https://community.ui.com/questions/ER-X-switching-performance/de5457a5-ec0b-42e7-839d-900c2d4426cc (https://community.ui.com/questions/ER-X-switching-performance/de5457a5-ec0b-42e7-839d-900c2d4426cc)
The ER-X ports are on a switch chip, so when using them with switch0 it should be line rate, just like the ER-POE
Donc je pourrais penser que cela ne doit pas perturber les perf du router et que le switch de l'ER est au moins aussi bon que mon vieux Netgear GS108 et certainement mieux que mon FS108P qui est 100 Mbps? surtout si je dois cascader les switchs
Pour mon GS108, j'ai trouvé des chiffres
Bandwidth: 16 Gbps (non-blocking)
Forwarding rate: 1000 Mbps port: 1,480,000 packets/sec
Latency (using 1500-byte packets): 1000 Mbps: 4μs (max)
Pour l'ER, j'ai cela
Layer 3 Forwarding Performance
Packet Size: 64 Bytes 3,400,000 pps
Packet Size: 1518 Bytes or Larger 6.8 Gbps (Line Rate)
Mais je ne sais pas si c'est comparable
-
Le . après le local pour le dernier, c'est ok ou non?
A priori le point ne dérange pas. Je l'ai vu dans une de mes configurations.
Faudrait-il modifier ce fichier pour que ça marche bien, je suppose que c'est utile pour les systèmes qui doivent être accédés par les autres?
Il n'y a que toi qui peut savoir. Tout dépend comment tes applications fonctionnent/communiquent et comment elles sont configurées...
Si tu veux que le nom de tes machines soit résolu avec le nom de domaine ".local", il faut soit domain local soit search local dans ton fichier /etc/resolv.conf.
Lorsque tu utilises un nom de machine au lieu de l'IP, tu vas résoudre le nom de ta machine (par ex : nom1) + le nom de domaine (par ex : local) s'il est spécifié dans /etc/resolv.conf --> nom1.local. Si le domaine n'est pas spécifié, il va résoudre uniquement le nom de la machine (nom1) --> nom.
Ton fichier /etc/hosts (vu la configuration mise en place) contient l'IP associée au nom de ta machine + nom de domaine... Donc tu dois avoir "domain local" ou "search local" dans ton fichier.
"search local" n'est pas obligatoire si tu as 1 seul domaine et que tu as déjà "domain local". Si tu as par exemple : search local local2 local3
Lorsque tu vas résoudre nom1, ton PC essaiera de résoudre les noms suivants nom1.local nom1.local2 et nom1.local3.
J'avais lu que le switch de l'ER était un vrai switch, mais sans info de performance.
OK pour le switch0, peut-être qu'il n'y a pas de problème de performance sur les derniers modèles.
Donc je pourrais penser que cela ne doit pas perturber les perf du router et que le switch de l'ER est au moins aussi bon que mon vieux Netgear GS108 et certainement mieux que mon FS108P qui est 100 Mbps? surtout si je dois cascader les switchs
A toi de vérifier que les performances sont bien là quand tu fais les modifs.
-
...Donc tu dois avoir "domain local" ou "search local" dans ton fichier
Je vais regarder le point et faire le modif progressivement. Est-il gênant d'avoir tout les hosts avec des alias = host.local? Une fois que c'est fait? J'essaierai d'optimiser par la suite avec tes inputs ; je vais essayer de passer un peu de temps sur la suite de la config.
...le switch0, peut-être qu'il n'y a pas de problème de performance sur les derniers modèles.
A toi de vérifier que les performances sont bien là quand tu fais les modifs.
J'ai configuré le switch0 comme un clone du eth3.
Vérifier les performances... comment faire? J'ai fait le speedtest d'Ookla après avoir fait la config
D'une part sur eth3 + switch + PC => en moyenne ping 1 ms, down 327 Mbps, up 300 Mbps (il y une semaine, 1, 327, 330)
Et sur switch0 (eth9) + PC => en moyenne ping 1 ms, down 340 Mbps, up 336 Mbps
Donc même résultat à 5 à 10% près, l'avantage sur la suppression du switch n'est pas forcément significative vu les variations des résultat et le peu de tests effectués.
(dans ce qui est visé, la comparaison serait ER + switch1 + switwh2 + PC vs ER + switwh2 + PC)
Ce test est certes un peu simpliste. Une autre idée de test réalisable?
Autre point, depuis le changement de config, fin octobre, le mail d'alerte de supervision nagios sont ne partent plus! Ils passent pas le relai SMTP du mail server du Synology
J'en suis au point où l'erreur est "lost connection while receiving the initial server greeting" ; comme je n'avais rien touché à la config, je me demande si ce n'est pas au changement de réseau, mais je ne comprends pas trop pourquoi, car il y avait aucun NAT vers ce Syno! et je ne vois pas en quoi le FW du LAN pourrait perturber qqch (quand j'ai découvert le problème, j'ai un fait qq modif à la hâte :-( et je ne suis plus sûr de la config initiale, mais l'historique montrent des erreurs autour de la date de changement de LAN)
Merci pour le schéma explicatif du FW. Je l'avais vu dans le doc que j'avais cité https://github.com/mjp66/Ubiquiti/blob/master/Ubiquiti%20Home%20Network.pdf (https://github.com/mjp66/Ubiquiti/blob/master/Ubiquiti%20Home%20Network.pdf), il contient les explications du dessin. Comme tu proposes aussi ce schéma, je le considère comme une bonne source ; une lecture pour les jours à venir...
-
J'ai fait quelques mesures: download, upload, latence avec Ookla à partir d'un PC.
Dans 3 cas, avec la LB, sur le LAN d'eth3, sur le LAN de switch0 (interne à l'ER)
1/ ONT -- LB -- PC
2/ ONT -- ER eth2 -- switch Netgear -- PC
3/ ONT -- ER switch0 -- PC
En download, upload, la LB est au dessus de 400 Mbps alors que l'ER est autour de 300 Mbps.
Pour la latence la LB est un peu mieux également.
Entre eth2 + switch externe ou switch0 il n'y a pas de différence significative.
La mesure est peut-être limitée par mon PC ou la câble, mais la sujet n'est pas forcément la performance dans l'absolue, mais plutôt le fait que la LB aurait de meilleures performances que l'ER. Est-ce une question de réglage, car j'ai crû voir de meilleure performance pour l'ER?
Voir les graphiques: 1 mesure toutes les 5 minutes
La configfirewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WANv6 inbound traffic forwarded to LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WANv6 inbound traffic to the router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-name WANv6_OUT {
default-action accept
description "WANv6 outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 30 {
action accept
description "Allow IGMP"
log disable
protocol igmp
}
rule 40 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
description "WAN outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description "eth0 - Livebox"
duplex auto
speed auto
vif 832 {
address 192.168.30.1/24
description "eth0.832 - Internet + VoIP"
dhcp-options {
default-route update
default-route-distance 210
name-server update
}
}
}
ethernet eth1 {
description "eth1 - ONT"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 - Internet + VoIP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 01:XXXX:5C;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication, domain-search, SIP-servers, Vendor-Specific-Information;"
client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00YYYY:e7;"
default-route update
default-route-distance 210
global-option "option rfc3118-authentication code 90 = string;"
global-option "option SIP-servers code 120 = string;"
global-option "option Vendor-Specific-Information code 125 = string;"
name-server no-update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
out {
ipv6-name WANv6_OUT
name WAN_OUT
}
}
}
vif 840 {
address 192.168.40.1/24
description "eth1.840 - TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 - LAN"
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
}
ethernet eth3 {
address 192.168.20.1/24
description "eth3 - TV"
duplex auto
speed auto
}
ethernet eth4 {
duplex auto
speed auto
}
ethernet eth5 {
duplex auto
speed auto
}
ethernet eth6 {
duplex auto
speed auto
}
ethernet eth7 {
duplex auto
speed auto
}
ethernet eth8 {
duplex auto
speed auto
}
ethernet eth9 {
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.9.1/24
description "switch LAN"
mtu 1500
switch-port {
interface eth6 {
}
interface eth7 {
}
interface eth8 {
}
interface eth9 {
}
vlan-aware disable
}
}
}
protocols {
igmp-proxy {
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth3 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
interface switch0 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update enable
shared-network-name LAN {
authoritative enable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
dns-server 8.8.8.8
domain-name local
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
static-mapping CRIOS {
ip-address 192.168.10.201
mac-address 00:11:32:35:df:b4
}
static-mapping CRIOS107 {
ip-address 192.168.10.203
mac-address 00:11:32:03:62:98
}
static-mapping CRIOS210 {
ip-address 192.168.10.202
mac-address 00:11:32:07:bb:3f
}
static-mapping Cam1Reolink {
ip-address 192.168.10.116
mac-address ec:71:db:68:de:4d
}
static-mapping epsCuve {
ip-address 192.168.10.114
mac-address 68:c6:3a:a6:5b:e1
}
static-mapping erato {
ip-address 192.168.10.111
mac-address b8:27:eb:7d:00:36
}
static-mapping hestia {
ip-address 192.168.10.112
mac-address b8:27:eb:25:53:b5
}
static-mapping lmsSalon {
ip-address 192.168.10.115
mac-address b8:27:eb:42:7b:aa
}
static-mapping switchStudio {
ip-address 192.168.10.101
mac-address bc:cf:4f:fc:69:99
}
static-mapping vito {
ip-address 192.168.10.113
mac-address b8:27:eb:13:3a:55
}
static-mapping wapChambre {
ip-address 192.168.10.104
mac-address 1c:87:2c:66:5a:30
}
static-mapping wapSalon {
ip-address 192.168.10.103
mac-address 04:d9:f5:92:fc:88
}
static-mapping wapStudio {
ip-address 192.168.10.105
mac-address a8:5e:45:96:80:70
}
}
}
shared-network-name LAN2 {
authoritative enable
subnet 192.168.9.0/24 {
default-router 192.168.9.1
dns-server 192.168.9.1
dns-server 9.9.9.9
domain-name local2
lease 86400
start 192.168.9.11 {
stop 192.168.9.199
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.30.0/24 {
default-router 192.168.30.1
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.30.30 {
stop 192.168.30.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
subnet-parameters "option domain-search "NCY.access.orange-multimedia.net.";"
subnet-parameters "option domain-name "orange.fr";"
}
}
shared-network-name TV {
authoritative disable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 80.10.246.134
dns-server 81.253.149.5
lease 86400
start 192.168.20.30 {
stop 192.168.20.50
}
subnet-parameters "option Vendor-specific 00:00:0d:e9:28:04:06:46:38:30:38:34:46:05:0f:4c:4b:31:39:32:32:36:44:50:39:39:32:37:31:35:06:0d:4c:69:76:65:62:6f:78:20:46:69:62:72:65;"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 200
listen-on eth2
listen-on eth3
name-server 1.1.1.1
name-server 1.0.0.1
name-server 8.8.8.8
name-server 8.8.4.4
options expand-hosts
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
unms {
disable
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode enable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
domain-name local
host-name EdgeRouter
ipv6 {
}
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66. }
level admin
}
}
name-server 9.9.9.9
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
static-host-mapping {
host-name cam1reolink {
alias cam1reolink.local
inet 192.168.10.116
}
host-name crios {
alias crios.local
inet 192.168.10.201
}
host-name crios107 {
alias crios107.local
inet 192.168.10.203
}
host-name crios210 {
alias crios210.local
inet 192.168.10.202
}
host-name epsCuve {
alias espcuve.local
alias espcuve
inet 192.168.10.114
}
host-name erato {
alias lmserato
alias lmserato.local
alias lmschambre.local
alias erato
alias chambre
alias erato.local
inet 192.168.10.111
}
host-name hestia {
alias hestia.local
inet 192.168.10.112
}
host-name lmssalon {
alias lmssalon.local
inet 192.168.10.115
}
host-name switchstudio {
alias switchstudio.local
inet 192.168.10.101
}
host-name vito {
alias vito.local
inet 192.168.10.113
}
host-name wapSalon {
alias wapsalon.local
inet 192.168.10.103
}
host-name wapchambre {
alias wapchambre.local
inet 192.168.10.104
}
host-name wapstudio {
alias wapstudio.local
inet 192.168.10.105
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1641 */
-
j'ai activé le Hardware Offloading
https://help.ui.com/hc/en-us/articles/115006567467-EdgeRouter-Hardware-Offloading (https://help.ui.com/hc/en-us/articles/115006567467-EdgeRouter-Hardware-Offloading)
offload {
hwnat enable
ipsec enable
et j'arrive à 400Mbps sur un test, à creuser car tout n'est pas activable sur l'ER10x
A tester aussi si TV et LB / tel fonctionne encore aussi....
-
Un peu plus de mesures avec le Hardware Offloading montre que l'on est aussi bon que la LB
Sur le download / upload idem, sur la latence, la LB un peu mieux, mais il n'y a pas le même nombre de mesures
Le dernier graphe montre avec la TV allumée en même temps avant le trait orange et après TV éteinte => la TV ne semble pas avoir beaucoup d'influence.
Donc par rapport à l'utilisation du switch interne (switch0) par rapport à un eth + switch externe, pas de différence significative
Pour mon usage, ces performances sont suffisantes, mais par curiosité, qu'est-ce qui bloque pour avoir plus? mon abonnement, la carte réseau du PC? La config de l'ER?
-
Pour mon usage, ces performances sont suffisantes, mais par curiosité, qu'est-ce qui bloque pour avoir plus? mon abonnement, la carte réseau du PC? La config de l'ER?
Hello,
Comment tester ? Le mieux est peut-être d'avoir 2 lignes identiques et de faire ces tests entre ces deux lignes avec 2 routeurs. Je ne vois pas comment faire auterment. Quelle est la capacité théorique de ta ligne ?
J'ai un er-6p avec une ligne 1gb/600Mb. L'er-6p monte à 12-15% de CPU à 950 Mbps. Donc je considère que j'ai de la marge et que ce n'est pas matériel. Est-ce que tu as regardé le CPU quand tu faisais tes tests ?
Je ne sais pas comment optimiser... Problème de routage, de règle de parefeu, protocole de routage ? Je ne sais pas trop comment tu pourrais faire, je ne m'y connais pas assez
-
Merci
CPU de l'ER à 1 à 2% avec 2 PC qui exécute le speedtest en //
La somme des 2 uploads fait 416 et la somme des 2 downloads fait 425 Mbps, soit à peine plus que un seul PC, donc peut-être une limitation par la carte réseau de mon PC. Corroboré par le fait que l'on a à peu près les mêmes perf vues du PC avec ou sans la TV.
Pas de besoin d’optimiser plus. J'ai encore bcp de temps à passer pour comprendre ce qui est fait et ce dont j'ai besoin.
-
Bonjour je suis nouveau,
je viens d'acquérir un ER-X, j'ai un petit souci, je n'arrive pas accéder à la TV par le décodeur, Internet fonctionne parfaitement. J'aimerais être éclairé.
Ma config :
ETH 1 : ONT
ETH 2 : LAN + Switch avec Décodeur
Je vous mets ma configuration boot :
firewall {
all-ping enable
broadcast-ping disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 1 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 3 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
bridge br0 {
aging 300
bridged-conntrack disable
description "bro -> eth0.838 LIVEBOX (VoD)"
hello-time 2
max-age 20
priority 0
promiscuous di[ttsable
stp false
}
bridge br1 {
aging 300
bridged-conntrack disable
description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
hello-time 2
max-age 20
priority 0
promiscuous disable
stp false
}
ethernet eth0 {
description "eth0 VERS LIVEBOX"
duplex auto
speed auto
vif 832 {
address 192.168.1.254/24
description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
}
vif 840 {
bridge-group {
bridge br1
}
description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth1 {
description "eth1 ONT (FIBRE RJ45)"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 (INTERNET + VOIP + CANAL 2)"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:1a:09:00:00:05:58:01:XXX:X;"
client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
default-route update
default-route-distance 210
global-option "option rfc3118-auth code 90 = string;"
name-server update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
name WAN_IN
}
local {
name WAN_LOCAL
}
}
}
vif 840 {
bridge-group {
bridge br1
}
description "eth1.840 (ZAPPING + CANAL 1)"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.2.1/24
description LAN
duplex auto
speed auto
}
ethernet eth3 {
disable
duplex auto
speed auto
}
ethernet eth4 {
disable
duplex auto
speed auto
}
loopback lo {
}
switch switch0 {
address 192.168.5.1/24
description Local
mtu 1500
switch-port {
interface eth3 {
}
interface eth4 {
}
vlan-aware disable
}
}
}
protocols {
static {
route6 ::/0 {
next-hop fe80::ba0:bab {
interface eth1.832
}
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update disable
shared-network-name LAN {
authoritative disable
subnet 192.168.2.0/24 {
default-router 192.168.2.1
dns-server 8.8.8.8
dns-server 8.8.4.4
lease 86400
start 192.168.2.3 {
stop 192.168.2.50
}
}
}
shared-network-name LIVEBOX {
authoritative enable
subnet 192.168.1.0/24 {
default-router 192.168.1.254
dns-server 81.253.149.9
dns-server 80.10.246.1
domain-name orange.fr
lease 86400
start 192.168.1.30 {
stop 192.168.1.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
use-dnsmasq disable
}
dns {
}
gui {
http-port 80
https-port 443
listen-address 192.168.2.1
older-ciphers enable
}
nat {
rule 5001 {
description "MASQ: WAN"
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
listen-address 192.168.2.1
port 22
protocol-version v2
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode disable
wan eth1.832
}
}
system {
config-management {
commit-revisions 50
}
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 8.8.8.8
name-server 8.8.4.4
name-server 208.67.222.222
name-server 208.67.220.220
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v1.10.7.5127989.181001.1227 */
Merci
-
bonjour
je ne suis pas expert, donc pas capable de dégoguer, par contre je peux repréciser ma config, qui fonctionne.
Pour la TV via un switch, comme expliqué par pinomat, il faut un switch managé pour faire la CoS:
https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/
sinon cela ne fonctionne pas.
Comme je n'ai pas de switch managé, j'ai branché la TV directement sur l'ERx:
"eth0 - Livebox"
"eth1 - ONT"
"eth2 - LAN"
"eth3 - TV"
A noter les mises à jour effectuées sur l'ER
Update release: v2.0.8-hotfix
Update the bootloader version: e55_002_4c817
La config non nettoyée correspondante se trouve là:
https://lafibre.info/remplacer-livebox/tutot-er4-v2-0-8-ipv6-tv-et-tel-derriere-livebox/msg808001/#msg808001
(il faut enlever toutes les spécificités avant import ou juste regarder les commandes à reprendre)
Ma config actuelle a le LAN sur le switch0, ce qui permet d'avoir plusieurs ports avec le LAN comme sur un switch
Bon courage
-
Ma config :
ETH 1 : ONT
ETH 2 : LAN + Switch avec Décodeur
Bonsoir @SimonG85,
Il manque au moins dans la configuration du routeur l'igmp-proxy : Tu devrais avoir un upstream (eth1.840) et un downstream (eth2). Il faut aussi activer sur ton switch l'gmp snooping.
Donc tu utilises la Livebox pour la VoIP ? Tu peux chercher des explications sur mon tuto https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/ (https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/)
-
Il manque au moins dans la configuration du routeur l'igmp-proxy : Tu devrais avoir un upstream (eth1.840) et un downstream (eth2). Il faut aussi activer sur ton switch l'gmp snooping.
Non, même pas vu qu’il utilise un bridge du VLAN 840 entre le WAN et le eth0 sur lequel est la box. Le décodeur ne peut donc fonctionner que derrière la Livebox et pas en direct sur le routeur dans cette configuration. Configuration complètement obsolète depuis des années ceci dit puisqu’on a depuis longtemps remplacé ces bridges, qui désactivent l’accélération matérielle, par le proxy IGMP....
C’est un peu le problème de 90% des tutos du forum... Pas maintenus et pour la plupart devenus incorrects.
-
Non, même pas vu qu’il utilise un bridge du VLAN 840 entre le WAN et le eth0 sur lequel est la box. Le décodeur ne peut donc fonctionner que derrière la Livebox et pas en direct sur le routeur dans cette configuration. Configuration complètement obsolète depuis des années ceci dit puisqu’on a depuis longtemps remplacé ces bridges, qui désactivent l’accélération matérielle, par le proxy IGMP....
C’est un peu le problème de 90% des tutos du forum... Pas maintenus et pour la plupart devenus incorrects.
J'étais aussi dans une config bridge Erlite 3 avec la 1.10.11 depuis 2 ans sans souci et j'ai voulu mettre à jour vers la 2.0.9 et boom...plus de récupération d'ip publique.
Alors voilà si une âme charitable voudrait bien me donner clairement la marche à suivre pour avoir une conf sans bridge (avec Livebox 4) et sous la forme :
Eth 0 : Livebox + tel + décodeur
Eth 1 : ONT
Eth 2 : LAN
Avec le dernier firmware dans l'idéal ou bien celui que j'utilisais à défaut (1.10.11).
Ce serait cool parce que vu le nombre de messages je suis complètement largué...
😁 Merci
-
bonjour
je ne suis pas expert, donc pas capable de dégoguer, par contre je peux repréciser ma config, qui fonctionne.
Pour la TV via un switch, comme expliqué par pinomat, il faut un switch managé pour faire la CoS:
https://lafibre.info/remplacer-livebox/tuto-er-6p-v2-0-6-cisco-sg350-28p-nettv-sans-livebox/
sinon cela ne fonctionne pas.
Comme je n'ai pas de switch managé, j'ai branché la TV directement sur l'ERx:
"eth0 - Livebox"
"eth1 - ONT"
"eth2 - LAN"
"eth3 - TV"
A noter les mises à jour effectuées sur l'ER
Update release: v2.0.8-hotfix
Update the bootloader version: e55_002_4c817
La config non nettoyée correspondante se trouve là:
https://lafibre.info/remplacer-livebox/tutot-er4-v2-0-8-ipv6-tv-et-tel-derriere-livebox/msg808001/#msg808001
(il faut enlever toutes les spécificités avant import ou juste regarder les commandes à reprendre)
Ma config actuelle a le LAN sur le switch0, ce qui permet d'avoir plusieurs ports avec le LAN comme sur un switch
Bon courage
Bonjour,
Je viens de me lancer dans une démarche de remplacer ma LiveBox 5 Fibre par un router ER4. Voici ma config actuellement :
ONT ===> (SFP-ONT + TP Link MC220L) ====> eth1 | ER4 |
| | eth2 =====> LAN + vlan 840 ==> (P1)-(GS108Ev3)-(P8) ===> décodeur TV UHD
| | eth0 =====> (eth4) Livebox (vlan 832) ** J'aimerais bien ne pas garder ce lien**
Mon fichier config.boot est très inspiré de celui de @pascal9 avec comme différence l'utilisation eth3 pour la TV chez lui et moi je suis resté avec la TV et le LAN sur eth2.
- Internet est OK ( ipv4 et ipv6), mon dernier souci c'est la TV qui est tout le temps en Erreur G03 quand je connecte sur ER4. j'ai activé IGMP Snooping, crée le VLAN 840 et tagger le P1 du switch.
- Quand je connecte le décodeur TV sur la Livebox, J'ai la VOD,REPLAY,ZAPPING mais pour la télé j'ai l'erreur L11-06
J'ai révu ma config plusieurs fois pour voir ou je me suis trompé notamment dans les interfaces, les services DHCP et Igmp-proxy je ne trouve rien d'anormale. J'ai grillé toutes mes pistes d'investigation, je sollicite votre expertise pour trouver le coupable ;D. En vérité c'est moi mais...
Mon fichier de config:
firewall {
all-ping enable
broadcast-ping disable
ipv6-name WANv6_IN {
default-action drop
description "WANv6 inbound traffic forwarded to LAN"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
}
ipv6-name WANv6_LOCAL {
default-action drop
description "WANv6 inbound traffic to the router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
state {
invalid enable
}
}
rule 30 {
action accept
description "Allow ICMPv6"
log disable
protocol icmpv6
}
rule 40 {
action accept
description "Allow DHCPv6"
destination {
port 546
}
protocol udp
source {
port 547
}
}
}
ipv6-name WANv6_OUT {
default-action accept
description "WANv6 outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
ipv6-receive-redirects disable
ipv6-src-route disable
ip-src-route disable
log-martians enable
name WAN_IN {
default-action drop
description "WAN to internal"
enable-default-log
rule 10 {
action accept
description "Allow established/related"
log disable
protocol all
state {
established enable
invalid disable
new disable
related enable
}
}
rule 20 {
action drop
description "Drop invalid state"
log disable
protocol all
state {
established disable
invalid enable
new disable
related disable
}
}
}
name WAN_LOCAL {
default-action drop
description "WAN to router"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action accept
description "Allow Ping"
destination {
group {
address-group ADDRv4_eth2
}
}
log enable
protocol icmp
}
rule 30 {
action accept
description "Allow IGMP"
log disable
protocol igmp
}
rule 40 {
action drop
description "Drop invalid state"
log disable
state {
invalid enable
}
}
}
name WAN_OUT {
default-action accept
description "WAN outbound traffic"
rule 10 {
action accept
description "Allow established/related"
state {
established enable
related enable
}
}
rule 20 {
action reject
description "Reject invalid state"
state {
invalid enable
}
}
}
options {
}
receive-redirects disable
send-redirects enable
source-validation disable
syn-cookies enable
}
interfaces {
ethernet eth0 {
description "eth0 - Livebox"
duplex auto
speed auto
vif 832 {
address 192.168.30.1/24
description "eth0.832 - Internet + VoIP"
}
}
ethernet eth1 {
description "eth1 - ONT"
duplex auto
speed auto
vif 832 {
address dhcp
description "eth1.832 - Internet + VoIP"
dhcp-options {
client-option "send vendor-class-identifier "sagem";"
client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
client-option "send dhcp-client-identifier 01:XX:70;"
client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication, domain-search, SIP-servers, Vendor-Specific-Information;"
client-option "send rfc3118-authentication 00:YY:28;"
default-route update
default-route-distance 210
global-option "option rfc3118-authentication code 90 = string;"
global-option "option SIP-servers code 120 = string;"
global-option "option Vendor-Specific-Information code 125 = string;"
name-server no-update
}
egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
firewall {
in {
ipv6-name WANv6_IN
name WAN_IN
}
local {
ipv6-name WANv6_LOCAL
name WAN_LOCAL
}
out {
ipv6-name WANv6_OUT
name WAN_OUT
}
}
ipv6 {
address {
autoconf
}
dup-addr-detect-transmits 1
}
}
vif 840 {
address 192.168.40.1/24
description "eth1.840 - TV"
egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
}
}
ethernet eth2 {
address 192.168.10.1/24
description "eth2 - LAN"
duplex auto
ipv6 {
dup-addr-detect-transmits 1
router-advert {
cur-hop-limit 64
link-mtu 0
managed-flag false
max-interval 600
other-config-flag false
prefix ::/64 {
autonomous-flag true
on-link-flag true
preferred-lifetime 14400
valid-lifetime 18000
}
reachable-time 0
retrans-timer 0
send-advert true
}
}
speed auto
vif 840 {
address 192.168.20.1/24
description "eth2.840 - TV"
mtu 1500
}
}
ethernet eth3 {
disable
duplex auto
speed auto
}
loopback lo {
}
}
protocols {
igmp-proxy {
interface eth1.840 {
alt-subnet 0.0.0.0/0
role upstream
threshold 1
}
interface eth2.840 {
alt-subnet 0.0.0.0/0
role downstream
threshold 1
}
}
}
service {
dhcp-server {
disabled false
global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"
global-parameters "option Vendor-specific code 125 = string;"
hostfile-update enable
shared-network-name LAN {
authoritative disable
subnet 192.168.10.0/24 {
default-router 192.168.10.1
dns-server 192.168.10.1
domain-name local
lease 86400
start 192.168.10.3 {
stop 192.168.10.254
}
}
}
shared-network-name Livebox {
authoritative enable
subnet 192.168.30.0/24 {
default-router 192.168.30.1
dns-server 81.253.149.6
dns-server 80.10.246.136
lease 86400
start 192.168.30.30 {
stop 192.168.30.50
}
subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
}
}
shared-network-name TV {
authoritative disable
subnet 192.168.20.0/24 {
default-router 192.168.20.1
dns-server 80.10.246.136
dns-server 81.253.149.6
lease 86400
start 192.168.20.30 {
stop 192.168.20.50
}
subnet-parameters "option Vendor-specific 00:00:0d:e9:28:04:06:XX:XX:XX:XX:XX:XX:05:0f:44:4d:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:yy:06:0d:4c:69:76:65:62:6f:78:20:46:69:62:72:65;"
}
}
static-arp disable
use-dnsmasq disable
}
dns {
forwarding {
cache-size 200
listen-on eth2
name-server 1.1.1.1
name-server 1.0.0.1
name-server 8.8.8.8
name-server 8.8.4.4
options expand-hosts
}
}
gui {
http-port 80
https-port 443
older-ciphers enable
}
nat {
rule 5010 {
log disable
outbound-interface eth1.832
protocol all
type masquerade
}
}
ssh {
allow-root
port 22
protocol-version v2
}
unms {
disable
}
upnp2 {
listen-on eth0.832
listen-on eth2
nat-pmp enable
secure-mode enable
wan eth1.832
}
}
system {
analytics-handler {
send-analytics-report true
}
config-management {
commit-revisions 50
}
crash-handler {
send-crash-report true
}
domain-name local
host-name EdgeRouter
login {
user ubnt {
authentication {
encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
}
level admin
}
}
name-server 1.1.1.1
ntp {
server 0.ubnt.pool.ntp.org {
}
server 1.ubnt.pool.ntp.org {
}
server 2.ubnt.pool.ntp.org {
}
server 3.ubnt.pool.ntp.org {
}
}
offload {
hwnat disable
ipsec enable
ipv4 {
forwarding enable
vlan enable
}
ipv6 {
forwarding enable
vlan enable
}
}
syslog {
global {
facility all {
level notice
}
facility protocols {
level debug
}
}
}
time-zone Europe/Paris
traffic-analysis {
dpi disable
export disable
}
}
/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@5:ubnt-l2tp@1:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@2:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.9.5346345.201028.1647 */