Auteur Sujet: UniFi® Security Gateway en remplacement de la Livebox ?  (Lu 65860 fois)

0 Membres et 1 Invité sur ce sujet

vincen

  • Abonné FAI autre
  • *
  • Messages: 149
  • Lausanne (CH)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #36 le: 21 avril 2017 à 10:04:47 »
C'est bien ça
En gros, le contenu du fichier config.boot du USG est tellement plus compliqué de celui de l'ERL qu'il faut taper toutes les lignes à la mains ou via un script
Bon ce que j'ai pas dit avant c'est que pour l'instant j'arrive plus à provisionner le routeur par le contrôleur, mais je sais pas pourquoi  ;D
Je pense remettre l'USG en défaut d'usine et refaire les étapes pour voir ou ça commence à merder
oki j'attends de tes nouvelles alors pour tester ici sur le mien ! Je relance Unifi de leur côté pour voir si au moins ils ne pourraient pas intégrer dans le firmware la bonne version du client DHCP ;) ça simplifierait beaucoup l'histoire !

vincen

  • Abonné FAI autre
  • *
  • Messages: 149
  • Lausanne (CH)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #37 le: 12 mai 2017 à 08:25:04 »
As-tu pu faire des progrès ?

mike78530

  • Abonné Orange Fibre
  • *
  • Messages: 232
  • Toussus-le-Noble (78)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #38 le: 12 mai 2017 à 09:59:01 »
Salut Vincen, oui ça avance.

J'arrive a utiliser le fichier config.gateway.json sur le controller pour qu'il diffuse la config (DNS+root) a chaque "provisionning".

Du coup après avoir copié et patché tous les fichiers nécessaires, au niveau du controller j'active le VLAN sur le WAN1 et je renseigne le n° 832.
Comme ca le controller crée automatiquement les règles du parefeu + NAT avec le VLAN832 dans le fichier de config de l'USG, donc une chose en moins à faire

On fait un petit reboot.

Etape d'après, comme je l'ai dit avant, j'ai tapé toutes mes commandes une à une, du coup j'ai fait un script qu'on peut exécuter sur l'USG pour ajouter tout d'un coup. Par contre ça doit se faire sans la présence du controller sinon il va tout effacer.

voici en PJ le script pour la partie internet soit juste le VLAN 832. A lancer en root (sudo -i)
Remplace les X par l'identifiant FTI en hexa (ligne 8 )

J'ai pu testé chez mes parents qui ont la fibre et ça marche parfaitement

Tiens moi au courant si ça marche déjà, fait bien attention avec les fichiers à copier/patcher (droits, syntaxe...) c'est le plus important

Je vais essayer de faire un config.gateway.json tout prêt mais mon controller sur mon synology a planté donc j'ai plus vraiment joué avec l'USG mais je comprends bien comment marche le config.gateway.json

mike78530

  • Abonné Orange Fibre
  • *
  • Messages: 232
  • Toussus-le-Noble (78)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #39 le: 13 mai 2017 à 13:48:59 »
Alors Vincen, t'en sors tu ?

duch

  • Abonné Orange Fibre
  • *
  • Messages: 47
  • Rennes (35)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #40 le: 03 juin 2017 à 13:36:41 »
Bonjour mike et vincen. J'essaye moi aussi de remplacer ma livebox fibre (internet uniquement, pas de TV et je n'utilise pas la VoIP) par un USG. J'ai un peu de mal à comprendre toutes les étapes.

De ce que j'ai compris :

1) sur l'USG, remplacer /sbin/dhclient3 par la version de zoc et s'assurer qu'il ait les droits d'execution.

2) sur l'USG, copier le fichier rfc3442-classless-routes dans le répertoire /etc/dhcp3/dhclient-exit-hooks.d ... j'imagine qu'on parle de ce fichier ?

3) sur l'USG, modifier le fichier /opt/vyatta/sbin/vyatta-interfaces.pl en rajoutant

$output .= "option rfc3118-auth code 90 = string;\n\n";
sous la ligne $output .= "option rfc3442-classless-static-routes code 121 = array of unsigned integer 8;\n\n";

4) Sur le Controller, créer un fichier config.gateway.json en suivant les instructions d'Ubiquiti.

Là je ne comprends plus ce qu'il faut y mettre.

Ce qui est dans script_orange_VLAN832.sh ?

Ça :

set interfaces ethernet eth2 vif 832 address dhcp
set interfaces ethernet eth2 vif 832 dhcp-options client-option "send vendor-class-identifier "sagem";"
set interfaces ethernet eth2 vif 832 dhcp-options client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
set interfaces ethernet eth2 vif 832 dhcp-options client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:x:x:x:x:x:x:x:x:x:x:x;"
set interfaces ethernet eth2 vif 832 dhcp-options client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
set interfaces ethernet eth2 vif 832 dhcp-options client-option "retry 60;"
set interfaces ethernet eth2 vif 832 dhcp-options default-route update
set interfaces ethernet eth2 vif 832 dhcp-options default-route-distance 210
set interfaces ethernet eth2 vif 832 dhcp-options name-server update

set interfaces ethernet eth2 vif 832 egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
set interfaces ethernet eth2 vif 832 firewall in name WAN_IN
set interfaces ethernet eth2 vif 832 firewall local name WAN_LOCAL

set service nat rule 6009 description "MASQ: WAN"
set service nat rule 6009 log disable
set service nat rule 6009 outbound-interface eth2.832
set service nat rule 6009 protocol all
set service nat rule 6009 type masquerade

commit

moins ce qui est dans le script ? en entier ?

5) sur l'USG, executer le script en l'absence du Controller ?
 
???

Je précise que j'ai le Controller sur une CloudKey
« Modifié: 03 juin 2017 à 14:58:37 par duch »

mike78530

  • Abonné Orange Fibre
  • *
  • Messages: 232
  • Toussus-le-Noble (78)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #41 le: 03 juin 2017 à 14:24:21 »
Salut Duch,

1) 2) 3) oui

Si tu n'utilise pas le TV, le ficher  rfc3442-classless-routes est inutile dans ce cas il me semble donc l'étape 2 est optionnelle

Avant tout, va dans le controller, clic sur ton USG, édite les propriétés du WAN1 et rajoute lui un VLAN 832, sauvegarde et synchronise l'USG (comme ça il va créer quelques règles tout seul donc moins de boulot pour nous :) )

Pour la suite tu dois débrancher le cloudkey car a chaque reboot, le controller écrase la config dans l'USG

Pour le script c'est le cœur, car c'est ces lignes qui vont faire que l'USG va se logger sur le réseau d'orange (ces ligne se rajoute dans le fichier config.boot qui est sur l'USG)

set interfaces ethernet eth2 vif 832 address dhcp
set interfaces ethernet eth2 vif 832 dhcp-options client-option "send vendor-class-identifier "sagem";"
set interfaces ethernet eth2 vif 832 dhcp-options client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
ca permet de dire "bonjour je suis une livebox"


set interfaces ethernet eth2 vif 832 dhcp-options client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:x:x:x:x:x:x:x:x:x:x:x;"Il faut remplacer les XXXX par ton identifiant orange "fti/blablabla" et ça sous forme hexa (le convertisseur https://jsfiddle.net/kgersen/45zudr15/embedded/result/ )


set interfaces ethernet eth2 vif 832 egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
set interfaces ethernet eth2 vif 832 firewall in name WAN_IN
set interfaces ethernet eth2 vif 832 firewall local name WAN_LOCAL
règle du firewall + QOS


set service nat rule 6009 description "MASQ: WAN"
set service nat rule 6009 log disable
set service nat rule 6009 outbound-interface eth2.832
set service nat rule 6009 protocol all
set service nat rule 6009 type masquerade
Génération du NAT pour le VLAN 832 (accès internet)


donc le script que je propose rajoute toutes ces lignes en une fois au lieu de se les taper à la main comme un forcené :)

Une fois que ca marche il faut se logger sur l'USG en ssh et faire un
mca-ctrl -t dump-cfg > config.gateway.jsonCa va générer un fichier de config qu'il faudra mettre dans le cloudkey afin qu'il injecte cette config à chaque redémarrage
Normalement moi je l’épure pour ne garder que ce que j'ai rajouté via le script car sinon la synchro est super longue


PS: je complète mon commentaire: tu copie le fichier script_orange_VLAN832.sh sur l'USG (dans le dossier tmp par exemple) et tu l'execute via ssh  "/tmp/script_orange_VLAN832.sh" en ayant bien prit soin de remplacer les XXXX
« Modifié: 03 juin 2017 à 14:55:02 par mike78530 »

duch

  • Abonné Orange Fibre
  • *
  • Messages: 47
  • Rennes (35)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #42 le: 03 juin 2017 à 14:56:18 »
Merci mike, ça devient un peu plus clair.

J'ai encore quelques interrogations :

Pour le VLAN 832 sur le port WAN1 on est d'accord qu'on parle bien de cette option là :



Pour le script en pièce jointe quelques messages plus haut, il ne comporte que 5 instructions par rapport aux 12 que tu décris ici, c'est ça qui me laissait perplexe. Précisèment, le contenu du script est :

#!/bin/vbash
source /opt/vyatta/etc/functions/script-template

configure

set interfaces ethernet eth0 vif 832 dhcp-options client-option "send vendor-class-identifier "sagem";"
set interfaces ethernet eth0 vif 832 dhcp-options client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
set interfaces ethernet eth0 vif 832 dhcp-options client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:x:x:x:x:x:x:x:x:x;"
set interfaces ethernet eth0 vif 832 dhcp-options client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
set interfaces ethernet eth0 vif 832 egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"

commit

save

Enfin, et là ce n'est plus une question propre à l'USG, mais à aucun moment on ne doit fournir le mot de passe de connexion ? Seul l'identifiant est nécessaire pour obtenir une IP auprès du dhcp orange ?

Si c'est le cas, il sert à quoi ce mot de passe du coup ?  ???

mike78530

  • Abonné Orange Fibre
  • *
  • Messages: 232
  • Toussus-le-Noble (78)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #43 le: 03 juin 2017 à 15:23:38 »
Merci mike, ça devient un peu plus clair.

J'ai encore quelques interrogations :

Pour le VLAN 832 sur le port WAN1 on est d'accord qu'on parle bien de cette option là :


Pour le script en pièce jointe quelques messages plus haut, il ne comporte que 5 instructions par rapport aux 12 que tu décris ici, c'est ça qui me laissait perplexe. Précisèment, le contenu du script est :

#!/bin/vbash
source /opt/vyatta/etc/functions/script-template

configure

set interfaces ethernet eth0 vif 832 dhcp-options client-option "send vendor-class-identifier "sagem";"
set interfaces ethernet eth0 vif 832 dhcp-options client-option "send user-class "\053FSVDSL_livebox.Internet.softathome.Livebox4";"
set interfaces ethernet eth0 vif 832 dhcp-options client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:66:74:x:x:x:x:x:x:x:x:x;"
set interfaces ethernet eth0 vif 832 dhcp-options client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
set interfaces ethernet eth0 vif 832 egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"

commit

save

Enfin, et là ce n'est plus une question propre à l'USG, mais à aucun moment on ne doit fournir le mot de passe de connexion ? Seul l'identifiant est nécessaire pour obtenir une IP auprès du dhcp orange ?

Si c'est le cas, il sert à quoi ce mot de passe du coup ?  ???

Oui c'est bien cette option pour le VLAN 832

Comme on fait cette manip mon script rajoute que le nécessaire du coup pas besoin de toutes les ligne vus que l'usg en fait une partie tout seul :)

Je me suis juste permis d'expliquer le code qui tu as posté du coup

le mot de passe bah aucune idée ^^

Je complète encore :) : je pense que des infos doivent être codées dans l'ONT donc on a juste besoin de l'identifiant pour avoir une IP

duch

  • Abonné Orange Fibre
  • *
  • Messages: 47
  • Rennes (35)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #44 le: 03 juin 2017 à 15:28:58 »
Ha ok, ben merci pour les explications du coup, là c'est super clair ! Je vais tester tout ça dès que possible.

duch

  • Abonné Orange Fibre
  • *
  • Messages: 47
  • Rennes (35)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #45 le: 03 juin 2017 à 15:31:54 »
je pense que des infos doivent être codées dans l'ONT donc on a juste besoin de l'identifiant pour avoir une IP

Ha zut, ça risque de compliquer un peu vu que je n'ai pas d'ONT. C'est une LB4, elle est directement equippée d'un SFP, je pensais utiliser un TP Link MC220L pour la conversion SFP <> Ethernet gigabit.

mike78530

  • Abonné Orange Fibre
  • *
  • Messages: 232
  • Toussus-le-Noble (78)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #46 le: 03 juin 2017 à 15:38:41 »
Ha zut, ça risque de compliquer un peu vu que je n'ai pas d'ONT. C'est une LB4, elle est directement equippée d'un SFP, je pensais utiliser un TP Link MC220L pour la conversion SFP <> Ethernet gigabit.

Dans ton cas alors les infos sont dans le SFP :) aucun problème

duch

  • Abonné Orange Fibre
  • *
  • Messages: 47
  • Rennes (35)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #47 le: 03 juin 2017 à 18:43:36 »
Ha super, je ne savais pas que le module SFP servait aussi d'ONT !