Auteur Sujet: Tuto - ER4 - v2.0.8 - IPv6 + TV et Tel avec Livebox (Lu 28511 fois)

pinomat · « **Réponse #60 le:** 26 octobre 2020 à 16:06:56 »

Citation de: pascal9 le 26 octobre 2020 à 00:07:56

pour le moment, j'ai des erreurs au load de la config
je ne connais pas tout à fait la syntaxe...

Pourquoi tu n'utilises pas la CLI

? Ca a tellement d'avantage comme ne pas casser toutes la config, t'alerter en cas d'incohérences de configuration, plus lisible, éviter les erreurs...

Pour supprimer les configurations : tu te connectes en SSH à ton routeur et tu tapes - par exemple pour remplacer la configuration igmp-proxy - les commandes suivantes :

Code: [Sélectionner]

configure
delete protocols igmp-proxy interface eth2.840
edit protocols igmp-proxy interface ethX.840 
set alt-subnet 0.0.0.0/0
set role downstream
set threshold 1
exit;commit;save

zoc · « **Réponse #61 le:** 26 octobre 2020 à 16:31:41 »

Je pense que les tutos (et les miens aussi d'ailleurs), ne sont pas assez explicite sur l'utilisation du "load" pour charger la configuration. A faire une seule fois au début pour charger la configuration initiale. Ensuite il est effectivement fortement recommandé de passer par set/delete pour faire des frappes chirurgicales dans la conf. En plus c'est plus simple pour revenir en arrière, on peut avoir l'historique des modifications... que des avantages.

pascal9 · « **Réponse #62 le:** 26 octobre 2020 à 19:54:51 »

merci à vous 2
je débute comme cela se voit... (pas que sur la LB sur un routeur, mais aussi sur le routeur en général, et donc l'EdgeRouteur)
Il y a bcp de tutos et peu correspondent à sa config du moment.

bon,
sur le modèle de pinomat, j'ai fait les delta suivant:
Pour mémoire:
ONT => eth1
LB => eth0
LAN => eth2
TV => eth3

Code: [Sélectionner]

configure
delete interfaces ethernet eth2 vif 840
edit interfaces ethernet eth3 
set address 192.168.20.1/24
set description "eth3 - TV"
set mtu 1500
exit;commit;save

Code: [Sélectionner]

configure
edit service dns forwarding
set listen-on eth3
exit;commit;save

pas vu d'erreur :-)

+ enable eth3 via GUI car pas fait et donc pas de LED allumée
Le décodeur ne démarre pas: pas d'ip vu du ER, j'ai ajouté un dhcp v4 pour voir, idem...

Comme j'ai vu que la config était dans /config, je vais la regarder de plus prêt pour comprendre

J'ai vu que pour pouvoir faire un ftp, il faut activer le root, ce que je vais faire

pinomat · « **Réponse #63 le:** 27 octobre 2020 à 00:14:14 »

Citation de: pascal9 le 26 octobre 2020 à 19:54:51

j'ai ajouté un dhcp v4 pour voir, idem...

Dans ta configuration, il y avait déjà un DHCP pour 192.168.20.0/24 (shared-network-name TV).

Citation de: pascal9 le 26 octobre 2020 à 19:54:51

Le décodeur ne démarre pas: pas d'ip vu du ER

Tu veux dire que le décodeur ne récupère pas d'IP et que l'interface eth3 n'a pas d'IP non plus dans la GUI ? Si c'est ça, il faut que tu t'assures qu'il n'y a qu'une seule interface (eth3 dans ton cas) avec 192.168.20.1/24.
Pour info, le DHCP fonctionne de la manière suivante : tu définis une IP avec un réseau X.X.X.X/YY sur une interface, lorsqu'une requête DHCP arrive sur cette interface, il va chercher dans un serveur DHCP concernant ce réseau X.X.X.X/YY (pool, routeur, dns, static-mapping, ....).

Tu peux reposter ta configuration complète ? Ca pourrait aider à diagnostiquer.

Sinon, il n'y a pas de firewall sur ton interface eth3, il faut ajouter/remplacer quelques règles :

Code: [Sélectionner]

edit firewall name WAN_LOCAL rule 4
set action drop
set description "Drop invalid state"
set log disable
set state invalid enable
exit;commit

delete firewall name WAN_LOCAL rule 3
edit firewall name WAN_LOCAL rule 3
set  action drop
set  description "Drop invalid state"
set  log disable
set  state invalid enable
exit;commit;save

set interfaces ethernet eth3 firewall in name WAN_IN
set interfaces ethernet eth3 firewall local name WAN_LOCAL

Citation de: pascal9 le 26 octobre 2020 à 19:54:51

J'ai vu que pour pouvoir faire un ftp, il faut activer le root, ce que je vais faire

Tu veux dire SFTP ? Si le SSH n'est pas activé, effectivement, active le. Connecte-toi avec putty (port 22) avec le même utilisateur que l'interface Web puis tu copies le fichier de config dans le home de l'utilisateur :
sudo cp /config/config.boot ~/
Enfin tu utilises WinSCP ou filezilla et tu récupères le fichier.

pascal9 · « **Réponse #64 le:** 27 octobre 2020 à 00:40:22 »

encore merci, (modif du 27/10/2020 pour mettre la config avec les modifs du post précédent)
voici ma config avec les ajouts que tu viens de signaler

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WANv6 inbound traffic forwarded to LAN"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow ICMPv6"
            log disable
            protocol icmpv6
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WANv6 inbound traffic to the router"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow ICMPv6"
            log disable
            protocol icmpv6
        }
        rule 40 {
            action accept
            description "Allow DHCPv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-name WANv6_OUT {
        default-action accept
        description "WANv6 outbound traffic"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action reject
            description "Reject invalid state"
            state {
                invalid enable
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 1 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 2 {
            action accept
            description "Allow Ping"
            destination {
                group {
                    address-group ADDRv4_eth2
                }
            }
            log enable
            protocol icmp
        }
        rule 3 {
            action drop
            description "Drop invalid state"
            log disable
            state {
                invalid enable
            }
        }
        rule 4 {
            action drop
            description "Drop invalid state"
            log disable
            state {
                invalid enable
            }
        }
    }
    name WAN_OUT {
        default-action accept
        description "WAN outbound traffic"
        rule 10 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action reject
            description "Reject invalid state"
            state {
                invalid enable
            }
        }
    }
    options {
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    ethernet eth0 {
        description "eth0 - Livebox"
        duplex auto
        speed auto
        vif 832 {
            address 192.168.30.1/24
            description "eth0.832 - Internet + VoIP"
        }
    }
    ethernet eth1 {
        description "eth1 - ONT"
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description "eth1.832 - Internet + VoIP"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox4&quot;;"
                client-option "send dhcp-client-identifier 01:...:5C;"
                client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-authentication, domain-search, SIP-servers, Vendor-Specific-Information;"
                client-option "send rfc3118-authentication 00:00:00:00:00:00:00:00:00:00:00:...3:14:e7;"
                default-route update
                default-route-distance 210
                global-option "option rfc3118-authentication code 90 = string;"
                global-option "option SIP-servers code 120 = string;"
                global-option "option Vendor-Specific-Information code 125 = string;"
                name-server no-update
            }
            egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
            firewall {
                in {
                    ipv6-name WANv6_IN
                    name WAN_IN
                }
                local {
                    ipv6-name WANv6_LOCAL
                    name WAN_LOCAL
                }
                out {
                    ipv6-name WANv6_OUT
                    name WAN_OUT
                }
            }
            ipv6 {
                address {
                    autoconf
                }
                dup-addr-detect-transmits 1
            }
        }
        vif 840 {
            address 192.168.40.1/24
            description "eth1.840 - TV"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {
        address 192.168.10.1/24
        description "eth2 - LAN"
        duplex auto
        ipv6 {
            dup-addr-detect-transmits 1
            router-advert {
                cur-hop-limit 64
                link-mtu 0
                managed-flag false
                max-interval 600
                other-config-flag false
                prefix ::/64 {
                    autonomous-flag true
                    on-link-flag true
                    preferred-lifetime 14400
                    valid-lifetime 18000
                }
                reachable-time 0
                retrans-timer 0
                send-advert true
            }
        }
        speed auto
    }
    ethernet eth3 {
        address dhcp
        description "eth3 - TV"
        duplex auto
        firewall {
            in {
                name WAN_IN
            }
            local {
                name WAN_LOCAL
            }
        }
        speed auto
    }
    ethernet eth4 {
        duplex auto
        speed auto
    }
    ethernet eth5 {
        duplex auto
        speed auto
    }
    ethernet eth6 {
        duplex auto
        speed auto
    }
    ethernet eth7 {
        duplex auto
        speed auto
    }
    ethernet eth8 {
        duplex auto
        speed auto
    }
    ethernet eth9 {
        duplex auto
        speed auto
    }
    loopback lo {
    }
    switch switch0 {
        mtu 1500
    }
}
protocols {
    igmp-proxy {
        interface eth1.840 {
            alt-subnet 0.0.0.0/0
            role upstream
            threshold 1
        }
        interface eth3.840 {
            alt-subnet 0.0.0.0/0
            role downstream
            threshold 1
        }
    }
}
service {
    dhcp-server {
        disabled false
        global-parameters "option rfc3118-auth code 90 = string;"
        global-parameters "option SIP code 120 = string;"
        global-parameters "option Vendor-specific code 125 = string;"
        hostfile-update disable
        shared-network-name LAN {
            authoritative disable
            subnet 192.168.10.0/24 {
                default-router 192.168.10.1
                dns-server 192.168.10.1
                domain-name local
                lease 86400
                start 192.168.10.3 {
                    stop 192.168.10.99
                }
                static-mapping erato {
                    ip-address 192.168.10.111
                    mac-address b8:27:eb:7d:00:36
                }
                static-mapping switchStudio {
                    ip-address 192.168.10.101
                    mac-address bc:cf:4f:fc:69:99
                }
                static-mapping wapChambre {
                    ip-address 192.168.10.104
                    mac-address 1c:87:2c:66:5a:30
                }
                static-mapping wapSalon {
                    ip-address 192.168.10.103
                    mac-address 04:d9:f5:92:fc:88
                }
                static-mapping wapStudio {
                    ip-address 192.168.10.105
                    mac-address a8:5e:45:96:80:70
                }
            }
        }
        shared-network-name Livebox {
            authoritative enable
            subnet 192.168.30.0/24 {
                default-router 192.168.30.1
                dns-server 80.10.246.134
                dns-server 81.253.149.5
                domain-name orange.fr
                lease 86400
                start 192.168.30.30 {
                    stop 192.168.30.50
                }
                subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
                subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
                subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
            }
        }
        shared-network-name TV {
            authoritative disable
            subnet 192.168.20.0/24 {
                default-router 192.168.20.1
                dns-server 80.10.246.134
                dns-server 81.253.149.5
                lease 86400
                start 192.168.20.30 {
                    stop 192.168.20.50
                }
                subnet-parameters "option Vendor-specific 00:00:0d:e9:28:04:06:46:38:30:38:34:46:05:0f:4c:4b:31:39:32:32:36:44:50:39:39:32:37:31:35:06:0d:4c:69:76:65:62:6f:78:20:46:69:62:72:65;"
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 200
            listen-on eth2
            listen-on eth3
            name-server 1.1.1.1
            name-server 1.0.0.1
            name-server 8.8.8.8
            name-server 8.8.4.4
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
    }
    ssh {
        allow-root
        port 22
        protocol-version v2
    }
    unms {
        disable
    }
    upnp2 {
        listen-on eth0.832
        listen-on eth2
        nat-pmp enable
        secure-mode enable
        wan eth1.832
    }
}
system {
    config-management {
        commit-revisions 50
    }
    domain-name local
    host-name EdgeRouter
    login {
        user ubnt {
            authentication {
                encrypted-password $1$zKNoUbAo$gomzUbYvgyUMcD436Wo66.
            }
            level admin
        }
    }
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export disable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1641 */

Je viens de basculer sur ce LAN et j'ai qq soucis avec serveurs, AP... qui avaient qq config en dur, pwd...
ça risque de m'occuper un peu!
Internet fonctionne, je vais pouvoir travailler demain :-)

pascal9 · « **Réponse #65 le:** 27 octobre 2020 à 08:21:20 »

bonjour,
config repostée avec les dernières modif.
pas d'ip sur eth3

pinomat · « **Réponse #66 le:** 27 octobre 2020 à 08:39:39 »

Citation de: pascal9 le 27 octobre 2020 à 08:21:20

config repostée avec les dernières modif.

Voilà, on y voit plus clair !

Donc, tu n'as pas d'IP parce que tu ne l'as pas définie sur l'interface eth3. S'il n'y a pas de DHCP derrière eth3 (sur ton décodeur Orange dans ton cas), tu dois forcer une IP. Voir explications dans un de mes précédents posts.

Ensuite ton downstream pour l'igmp-proxy est l'interface eth3.840, alors qu'on a défini l'interface du décodeur sur eth3 (car tu n'as pas besoin de la vif 840 vu que tu n'as que le décodeur derrière ETH3). Donc il faut que ta configuration affiche eth3 et non eth3.840.

Pour le firewall, il y a une erreur, tu n'as pas fait correctement les modifications, tu as 2 fois la même règle. Supprime aussi les règles firewall sur l'interface eth3 pour être sûr (tu feras des règles propres plus tard).

Enfin, comme je l'ai déjà dit, tu as besoin des DNS orange pour avoir la TV. Il faut supprimer dans la partie DNS les name-server et les remplacer par ceux fournis par le DHCP Orange (sur ton interface eth1.832. Donc soit tu forces les DNS Orange dans le serveur DHCP du range 192.168.20.0/24 soit tu fais comme le printscreen et tu supprimers les name-server et tu ajoutes les DNS du DHCP.

J'ai fait les printscreen pour t'aider à voir ce que tu dois avoir dans le fichier de config.boot.

Utilise la CLI, tu verras qu'à force c'est plus simple. Si besoin on t'explique comment te connecter avec Putty et les 3/4 commandes pour supprimer/ajouter/configurer/sauvegarder. Mais si tu cherches sur le site d'Ubiquiti tu devrais trouver quelques exemples et même des docs expliquant tout ça.

pascal9 · « **Réponse #67 le:** 27 octobre 2020 à 13:47:52 »

Merci!
je m'y attaque dès que j'ai récupéré le reste de mon réseau (3 NAS perdus, domotique 50%...)
J'ai une petit soucis (pas liée à la TV...): j'ai l'impression que les hostnames configurés sur l'ER ne sont pas reconnus de certains systèmes (ma domotique sous linux en particulier). Si je change le hostname par l'ip ça marche.
Depuis mon pc en windows, les hostnames sont ok.

pascal9 · « **Réponse #68 le:** 27 octobre 2020 à 20:08:52 »

help!
j'ai cassé des choses un peu vitales

je n'arrive pas ping mon NAS alors qu'il est visible avec un Advance IP scanner.
Mais il n’apparaissait pas dans les lease sous une IP d'un essai précédent (sans IP fixe).
Je l'ai configuré avec une IP fixe 192.168.10.201 accès toujours impossible ; puis j'ai aussi mis cette IP dans le static MAC/IP de l'ER
Mais toujours pas accessible (le port est 5000/5001 si cela à une influence)
Maintenant qu'il a une IP fixe sur ce réseau, je ne peux plus le mettre sur celui de la LB.
Idem sur un autre NAS (que j'ai laisse en DHCP)

pinomat · « **Réponse #69 le:** 27 octobre 2020 à 20:37:08 »

Citation de: pascal9 le 27 octobre 2020 à 20:08:52

help!
j'ai cassé des choses un peu vitales
je n'arrive pas ping mon NAS alors qu'il est visible avec un Advance IP scanner.
Mais il n’apparaissait pas dans les lease sous une IP d'un essai précédent (sans IP fixe).
Je l'ai configuré avec une IP fixe 192.168.10.201 accès toujours impossible ; puis j'ai aussi mis cette IP dans le static MAC/IP de l'ER
Mais toujours pas accessible (le port est 5000/5001 si cela à une influence)
Maintenant qu'il a une IP fixe sur ce réseau, je ne peux plus le mettre sur celui de la LB.
Idem sur un autre NAS (que j'ai laisse en DHCP)

Qu'as-tu fais ? Tu as utilisé la CLI ?
Il peut y avoir tellement de chose qui ne vont pas... Si tu n'arrives pas à joindre ton NAS, il peut y avoir plein de chose qui ne vont pas.

Tu ne voudrais pas tout faire trop vite, tout en même temps ?
Une devise que je connais bien, c'est que pour être bien aidé, il faut se laisser guider.

Reprends ta dernière configuration. Fait fonctionner une chose à la fois en essayant de comprendre ce que tu fais.

pascal9 · « **Réponse #70 le:** 27 octobre 2020 à 20:42:34 »

désolé!

c'est un problème de changement de réseau des NAS => j'ai utilisé le bouton reset pour init de l'IP et de DNS des NAS
Maintenant c'est OK, j'ai accès, je peux les laisser

J'ai vais regarder la suite de tes consignes

Toujours le problème des dns non "vus" des serveurs alors que vu de mon PC !?!
Mais peut-être que ça ira mieux avec l'application des tes consignes

pinomat · « **Réponse #71 le:** 27 octobre 2020 à 23:06:50 »

Citation de: pascal9 le 27 octobre 2020 à 20:42:34

Toujours le problème des dns non "vus" des serveurs alors que vu de mon PC !?!

Si tu n'as pas de serveur dns local, tu peux utiliser dnsmasq de l'edgerouter (il est désactivé dans ta config) :
set service dhcp-server use-dnsmasq enable

https://help.ui.com/hc/en-us/articles/115002673188-EdgeRouter-DHCP-Server-Using-Dnsmasq

PS : j'ai relu ta configuration. Pour les dns, tu as bien des DNS Orange dans la configuration du DHCP 192.168.20.0/24 pour ton interface eth3. Donc tu n'as pas besoin de supprimer name-server x.x.x.x par dhcp eth1.832.