Auteur Sujet: Ubiquiti ER Ipv6 dhcp6 en 2.X (Lu 29566 fois)

noway · « **Réponse #84 le:** 17 juillet 2020 à 10:03:56 »

Citation de: zoc le 16 juillet 2020 à 19:22:02

Bah non, sinon... on l’aurait fait depuis le début

Les sockets (RAW) utilisées en IPv4 par dhclient ne passent pas par iptables.

Ah ! Merci pour la réponse

C'eut été trop facile autrement !

Encore HS mais par curiosité, je regardais le script que tu as fait pour automatiser les installs après upgrade du firmware, et je me demandais ce qu'il y avait dans ton fichier notifications_EOS_upgrade.sh ?

zoc · « **Réponse #85 le:** 17 juillet 2020 à 20:42:10 »

C’est pas de moi ce script...

fttmeh · « **Réponse #86 le:** 17 juillet 2020 à 22:46:21 »

Citation de: noway le 17 juillet 2020 à 10:03:56

Ah ! Merci pour la réponse C'eut été trop facile autrement !

Encore HS mais par curiosité, je regardais le script que tu as fait pour automatiser les installs après upgrade du firmware, et je me demandais ce qu'il y avait dans ton fichier notifications_EOS_upgrade.sh ?

C'est mon script. Il sert à envoyer des messages à mon smartphone. C'est simplement un wrapper pour utiliser CURL pour appeler une API chez pushover.net

fttmeh · « **Réponse #87 le:** 21 juillet 2020 à 11:41:40 »

Citation de: Lyrca le 21 juillet 2020 à 10:52:09

Bonjour,

fttmeh m'a un peu aidé mais malheureusement cela ne fonctionne pas chez moi car je dois mal m'y prendre, une âme charitable pourrait-elle regarder mon fichier de conf et me dire ce qui ne va pas, merci :

As-tu des logs/captures tcpdump pour voir où ça coince ? C'est le routeur qui n'accepte pas ta config ou il n'obtient pas d'adresse IP ?

zoc · « **Réponse #88 le:** 21 juillet 2020 à 11:57:56 »

En IPv6 normal de ne pas avoir d’adresse Sur l’interface WAN...

Lyrca · « **Réponse #89 le:** 21 juillet 2020 à 12:04:57 »

Merci à vous.

Voici ce que je vois :

Par contre si je fais un ping orange.fr depuis mon routeur :

Code: [Sélectionner]

ping orange.fr
ping: orange.fr: Temporary failure in name resolution

ping 1.1.1.1
connect: Network is unreachable

Il semblerait que j'obtienne donc bien une IPv6, par contre impossible de sortir. Vous auriez une idée ? Merci

Lyrca · « **Réponse #90 le:** 21 juillet 2020 à 13:22:57 »

fttmeh m'a répondu :

Il me semble que tu n'as pas associé les rulesets (WAN_IN, etc.) aux intérfaces réseau. Selon ton ping, les paquets ne sortent pas du router faute d'une règle adaptée. Il manque, par exemple :

Code: [Sélectionner]

configure
set interfaces ethernet eth1.832 firewall in name WAN_IN
set interfaces ethernet eth1.832 firewall local name WAN_LOCAL
commit
save

Dans le ruleset WANv6_IN, il te manque de permettre le traffic ICMPv6 passer. C'est nécessaire en IPv6, et tu pourras fermer davantage quand tout fonctionnera bien.
Dans le ruleset WANv6_LOCAL, il est nécessaire de laisser passer TOUT le traffic ICMPv6 au début. Après tu pourras fermer davantage. Notamment, la route par défaut passer par un message RA qui passe par ICMPv6. Sinon tu auras bien ton adresse IP mais tu ne pourras pas envoyer des paquets vers Internet.

Mais j'avoue être perdu et ne sait pas comment faire. Je pense avoir les même règles en place que lorsque la config IPv4 fonctionnait et ne comprend pas ce qui manque.

Ma config:

Code: [Sélectionner]

firewall {
    all-ping enable
    broadcast-ping disable
    ipv6-name WANv6_IN {
        default-action drop
        description "WAN inbound traffic forwarded to LAN"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
    }
    ipv6-name WANv6_LOCAL {
        default-action drop
        description "WAN inbound traffic to the router"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related sessions"
            state {
                established enable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            state {
                invalid enable
            }
        }
        rule 30 {
            action accept
            description "Allow IPv6 icmp"
            protocol ipv6-icmp
        }
        rule 40 {
            action accept
            description "allow dhcpv6"
            destination {
                port 546
            }
            protocol udp
            source {
                port 547
            }
        }
    }
    ipv6-receive-redirects disable
    ipv6-src-route disable
    ip-src-route disable
    log-martians enable
    name WAN_IN {
        default-action drop
        description "WAN to internal"
        enable-default-log
        rule 10 {
            action accept
            description "Allow established/related"
            log disable
            protocol all
            state {
                established enable
                invalid disable
                new disable
                related enable
            }
        }
        rule 20 {
            action drop
            description "Drop invalid state"
            log disable
            protocol all
            state {
                established disable
                invalid enable
                new disable
                related disable
            }
        }
    }
    name WAN_LOCAL {
        default-action drop
        description "WAN to router"
        rule 1 {
            action accept
            description "Allow established/related"
            state {
                established enable
                related enable
            }
        }
        rule 2 {
            action accept
            description "Allow Ping"
            destination {
                group {
                    address-group ADDRv4_eth2
                }
            }
            log enable
            protocol icmp
        }
        rule 3 {
            action drop
            description "Drop invalid state"
            log disable
            state {
                invalid enable
            }
        }
    }
    options {
    }
    receive-redirects disable
    send-redirects enable
    source-validation disable
    syn-cookies enable
}
interfaces {
    bridge br0 {
        aging 300
        bridged-conntrack disable
        description "bro -> eth0.838 LIVEBOX (VoD)"
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
    bridge br1 {
        aging 300
        bridged-conntrack disable
        description "br1 -> eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
        hello-time 2
        max-age 20
        priority 0
        promiscuous disable
        stp false
    }
    ethernet eth0 {
        description "eth0 LIVEBOX"
        duplex auto
        speed auto
        vif 832 {
            address 192.168.2.1/24
            description "eth0.832 LIVEBOX (INTERNET + VOIP + CANAL 2)"
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "eth0.838 LIVEBOX (VoD)"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br1
            }
            description "eth0.840 LIVEBOX (ZAPPING + CANAL 1)"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth1 {
        description "eth1 ONT (FIBRE RJ45)"
        duplex auto
        speed auto
        vif 832 {
            address dhcp
            description "eth1.832 (INTERNET + VOIP + CANAL 2)"
            dhcp-options {
                client-option "send vendor-class-identifier &quot;sagem&quot;;"
                client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox3&quot;;"
                client-option "send rfc3118-auth XXXXXXXXX;"
                client-option "request dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, domain-search, rfc3118-auth;"
                client-option "send dhcp-client-identifier 01:F8:08:4F:E4:10:DA;"
                default-route update
                default-route-distance 210
                global-option "option rfc3118-auth code 90 = string;"
                name-server update
            }
            egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
            firewall {
                in {
                    name WAN_IN
                }
                local {
                    name WAN_LOCAL
                }
            }
            ipv6 {
                address {
                    autoconf
                }
                dup-addr-detect-transmits 1
            }
        }
        vif 838 {
            bridge-group {
                bridge br0
            }
            description "eth1.838 (VoD)"
            egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
        }
        vif 840 {
            bridge-group {
                bridge br1
            }
            description "eth1.840 (ZAPPING + CANAL 1)"
            egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
        }
    }
    ethernet eth2 {
        address 192.168.10.1/24
        description "eth2 LOCAL LAN SWITCH"
        duplex auto
        speed auto
    }
    ethernet eth3 {
        disable
        duplex auto
        speed auto
    }
    loopback lo {
    }
}
protocols {
}
service {
    dhcp-server {
        disabled false
        global-parameters "option rfc3118-auth code 90 = string;"
        global-parameters "option SIP code 120 = string;"
        global-parameters "option Vendor-specific code 125 = string;"
        hostfile-update disable
        shared-network-name LAN {
            authoritative disable
            subnet 192.168.10.0/24 {
                default-router 192.168.10.1
                dns-server 192.168.10.1
                domain-name local
                lease 86400
                start 192.168.10.3 {
                    stop 192.168.10.254
                }
                static-mapping Nas {
                    ip-address 192.168.10.10
                    mac-address 00:11:32:40:ef:f5
                }
                static-mapping Shield {
                    ip-address 192.168.10.11
                    mac-address 00:04:4b:f5:3b:a7
                }
            }
        }
        shared-network-name LIVEBOX {
            authoritative enable
            subnet 192.168.2.0/24 {
                default-router 192.168.2.1
                dns-server 80.10.246.134
                dns-server 81.253.149.5
                domain-name orange.fr
                lease 86400
                start 192.168.2.30 {
                    stop 192.168.2.50
                }
                subnet-parameters "option rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:64:68:63:70:6c:69:76:65:62:6f:78:66:72:32:35:30;"
                subnet-parameters "option SIP 00:06:73:62:63:74:33:67:03:41:55:42:06:61:63:63:65:73:73:11:6f:72:61:6e:67:65:2d:6d:75:6c:74:69:6d:65:64:69:61:03:6e:65:74:00;"
                subnet-parameters "option Vendor-specific 00:00:05:58:0c:01:0a:00:00:00:00:00:ff:ff:ff:ff:ff;"
            }
        }
        static-arp disable
        use-dnsmasq disable
    }
    dns {
        forwarding {
            cache-size 200
            listen-on eth2
            name-server 1.1.1.1
            name-server 1.0.0.1
            name-server 8.8.8.8
            name-server 8.8.4.4
        }
    }
    gui {
        http-port 80
        https-port 443
        older-ciphers enable
    }
    nat {
        rule 5010 {
            log disable
            outbound-interface eth1.832
            protocol all
            type masquerade
        }
    }
    ssh {
        allow-root
        port 22
        protocol-version v2
    }
    upnp2 {
        listen-on eth0.832
        listen-on eth2
        nat-pmp enable
        secure-mode disable
        wan eth1.832
    }
}
system {
    domain-name local
    host-name EdgeRouter
    login {
        user xxxxx {
            authentication {XXXXXX
                }
            }
            level admin
        }
    }
    ntp {
        server 0.ubnt.pool.ntp.org {
        }
        server 1.ubnt.pool.ntp.org {
        }
        server 2.ubnt.pool.ntp.org {
        }
        server 3.ubnt.pool.ntp.org {
        }
    }
    syslog {
        global {
            facility all {
                level notice
            }
            facility protocols {
                level debug
            }
        }
    }
    time-zone Europe/Paris
    traffic-analysis {
        dpi disable
        export disable
    }
}


/* Warning: Do not remove the following line. */
/* === vyatta-config-version: "config-management@1:conntrack@1:cron@1:dhcp-relay@1:dhcp-server@4:firewall@5:ipsec@5:nat@3:qos@1:quagga@2:suspend@1:system@4:ubnt-pptp@1:ubnt-udapi-server@1:ubnt-unms@1:ubnt-util@1:vrrp@1:vyatta-netflow@1:webgui@1:webproxy@1:zone-policy@1" === */
/* Release version: v2.0.8-hotfix.1.5278088.200305.1641 */

Merci à vous

zoc · « **Réponse #91 le:** 21 juillet 2020 à 16:19:20 »

Même tes DNS ne fonctionnent plus là...

Code: [Sélectionner]

show interfaces
show ip route
show ipv6 route

Je vois aussi que tu joues avec apt-get. Je déconseille FORTEMENT de mettre à jour les paquets du système, c’est la meilleure façon de « casser » le firmware. D’ailleurs je conseille également de virer de la configuration tout ce qui concerne les packages Debian pour ne pas être tenté de faire une connerie...

Après, franchement, ça va être difficile de trouver pourquoi ça ne marche pas à ta place.

zoc · « **Réponse #92 le:** 21 juillet 2020 à 16:34:33 »

Ces commandes ne doivent pas être exécutées en mode « configure », mais en mode normal.

Accessoirement, merci de continuer ici, pas la peine de m’envoyer les mêmes questions en privé. Je ne fais généralement pas de support en privé car les problèmes et leur solution intéressent tout le monde.

zoc · « **Réponse #93 le:** 21 juillet 2020 à 16:38:56 »

Bon bah déjà là c’est IPv4 qui ne fonctionne plus tu n’as même pas la route IPv4 par défaut. La table de routage IPv6 est correcte.

zoc · « **Réponse #94 le:** 21 juillet 2020 à 16:43:43 »

Aucune idée de ce que tu as fait quand tu as mis en place IPv6 mais manifestement ça a eu pour conséquence de casser IPv4. En tout cas ce n’est pas le fichier de configuration du routeur qui est en cause mais plus probablement les scripts externes.

C’est le problème de recopier des tutos sans rien comprendre...

Prochaines étapes:
- réinitialiser les routeur en configuration usine et refaire fonctionner IPv4
- remettre le support d’IPv6 en essayant de comprendre ce que fait chaque ligne de chaque script externe utilisé

Comme je l’ai déjà dit(en privé) je n’utilise pas dhclient pour IPv6 mais dibbler, je ne peux donc pas fournir de support pour IPv6 sur un firmware 2.0.8

Lyrca · « **Réponse #95 le:** 21 juillet 2020 à 16:47:05 »

J'ai suivi la procédure de fttmeh ici : https://lafibre.info/remplacer-livebox/ubiquiti-er-ipv6-dhcp6-en-2-x/msg684503/#msg684503 que je comprends parfaitement

Seule modification dans /etc/dhcp3/dhclient-exit-hooks.d/dhclient-ipv6-exit-hook

Code: [Sélectionner]

IPV6_INTERFACES=(eth2)

Je vais repasser le router dans la config IPv4 qui fonctionne et refaire les manips

Merci