Auteur Sujet: UniFi® Security Gateway en remplacement de la Livebox ?  (Lu 65858 fois)

0 Membres et 1 Invité sur ce sujet

zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 258
  • Antibes (06) / Mercury (73)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #60 le: 05 juin 2017 à 13:06:12 »
j'ai trouvé ce code quelque part mais j'ai plus la source, je suis juste certain qu'il faut le paquet "bc" d'installé, je le poste quand même mais sans support :(
C'est mon script, et contrairement à d'autres il n'a justement pas besoin de bc :)

mike78530

  • Abonné Orange Fibre
  • *
  • Messages: 232
  • Toussus-le-Noble (78)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #61 le: 05 juin 2017 à 13:44:06 »
C'est mon script, et contrairement à d'autres il n'a justement pas besoin de bc :)

ah bonne nouvelle. J'édite mon post alors. Merci zoc pour ton retour :)

edit : j'ai retrouvé la source : https://lafibre.info/remplacer-livebox/remplacer-sa-livebox-par-un-routeur-ubiquiti-edgemax-configuration-ipv6/msg427163/#msg427163

duch

  • Abonné Orange Fibre
  • *
  • Messages: 47
  • Rennes (35)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #62 le: 06 juin 2017 à 23:08:52 »
Merci pour toutes ces infos ! J'ai d'autres questions du coup  :D

pour /etc/dibbler/client.conf :

Faut-il spécifier la/les interfaces de downlink (eth1 donc pour le LAN1 sur un USG) avec downlink-prefix-ifaces ou laisser "none" ? Il me semble que ça soit plutôt la seconde réponse, cf la partie sur radvd.sh

Pourquoi l'option 11 est-elle spécifiée deux fois ? Est-ce nécessaire ?

pour /etc/dibbler/radvd.sh :

Si j'ai bien compris c'est un script qui s'occupe de configurer correctement une seule interface de downlink (codée en dur), du coup faut il simplement remplacer le eth0 par l'interface de downlink utilisée sur l'USG (eth1 pour reprendre l'exemple de toute à l'heure) ?

Ne faudrait-il pas plutôt utiliser la variable $DOWNLINK_PREFIX_IFACES passée au script par dibbler avec une boucle for comme dans cet autre radvd.sh post par gwongafa :

#!/bin/bash

# for each downlink interface...
ifn=0
for iface in $DOWNLINK_PREFIX_IFACES; do
    ifn=$(( $ifn + 1 ))
    prefix=`printenv PREFIX$ifn`
    prefixlen=`printenv PREFIX${ifn}LEN`

    # remove all global ipv6 addresses on the iface
    ip -6 addr flush dev $iface scope global

    if [ "$1" == "add" -o "$1" == "update" ]; then
        # set the first IP from the prefix
        ip addr add "${prefix}1/64" dev $iface
    fi
    service radvd reload >/dev/null 2>&1
done

Enfin pour la config vyatta, les WAN6_xxx du firewall c'est bien à créer intégralement à la main ?

duch

  • Abonné Orange Fibre
  • *
  • Messages: 47
  • Rennes (35)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #63 le: 07 juin 2017 à 00:16:48 »
Je me répond tout seul vu que tout a marché comme sur des roulettes et que l'IPv6 fonctionne parfaitement :

Citer
Faut-il spécifier la/les interfaces de downlink (eth1 donc pour le LAN1 sur un USG) avec downlink-prefix-ifaces ou laisser "none" ?

Il faut laisser "none".

Citer
Pourquoi l'option 11 est-elle spécifiée deux fois ?

Aucune idée mais je suis curieux de savoir !

Citer
du coup faut il simplement remplacer le eth0 par l'interface de downlink utilisée sur l'USG (eth1 [...]

Oui.

Cela dit j'essayerais bien de combiner les radvd.sh de zoc et de gwongafa pour pour pouvoir spécifier plusieurs interfaces de downlink directement dans /etc/dibbler/client.conf.

Citer
les WAN6_xxx du firewall c'est bien à créer intégralement à la main ?

Évidemment oui.

Merci beaucoup à tous les deux zoc et mike (et aux -nombreux- autres dont j'ai lu les messages sur d'autres sujets) !

Future cerise sur le gâteau, en principe pas mal de choses qu'on paramètre actuellement via le config.gateway.json devraient rejoindre le contrôleur UniFi d'ici la fin de l'année, dont la gestion de l'IPv6 et les options DHCP.

mike78530

  • Abonné Orange Fibre
  • *
  • Messages: 232
  • Toussus-le-Noble (78)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #64 le: 07 juin 2017 à 10:01:23 »
Cool :)

par contre par sûr que on pourra faire beaucoup de chose depuis le controller vis à vis de l'IPV6, car le client DHCP de l'USG est basé sur le wide-dhcpv6 et non pas sur isc-dhcpd (d'où l'obligation d'installer dibbler)

Enfin on verra bien, l'amélioration du controller est toujours bonne à prendre de toute facon :)

Pour finir, un exemple de config.gateway.json pour de l'IPV6 DHCPv6, ca peut donner des idées pour la config du firewall et d'autres options : https://dl.ubnt-ut.com/cmb/config.gateway.json/USG-DHCPv6-PD-config.gateway.json.txt

duch

  • Abonné Orange Fibre
  • *
  • Messages: 47
  • Rennes (35)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #65 le: 07 juin 2017 à 11:54:52 »
Non effectivement il y aura toujours besoin de patcher dhclient3 pour la CoS en IPv4 (ou d'utiliser un switch qui peut s'en charger) et d'utiliser dibbler pour le DHCP IPv6, mais ça peut potentiellement transférer beaucoup de choses du config.gateway.json vers le controller UniFi.

C'est un peu le principal intérêt de la gamme UniFi vs la gamme EdgeMAX quand même  ;D
« Modifié: 07 juin 2017 à 12:39:12 par duch »

vincen

  • Abonné FAI autre
  • *
  • Messages: 149
  • Lausanne (CH)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #66 le: 11 juin 2017 à 08:57:32 »
Au passage le config.gateway.json que j'ai mis sur ma CloudKey et qui fonctionne après reboot de l'USG, si ça peut servir à d'autres :
Juste pour être sûr il suffit juste d'ajouter ce script à mon controleur (en remplaçant au préalable les XXX par la mac de ma lB bien sûr ;) Pas besoin de remplacer le client DHCP de l'USG ?

Merci

duch

  • Abonné Orange Fibre
  • *
  • Messages: 47
  • Rennes (35)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #67 le: 11 juin 2017 à 09:09:44 »
Non il faut tout de même remplacer le dhclient3. Ou utiliser un switch manageable entre l'ONT et le routeur qui soit capable de faire la meme operation que le dhclient3 de zoc. Mais il faut faire soit l'un soit l'autre. Si tu fais un backup du dhclient3 d'origine sur l'USG c'est sans risque.

Edit : et les XX ne correspondent pas à l adresse mac de la LB mais à l'identifiant fti/blablabla au format hexa.

Tu veux une recap du minimum à faire pour remplacer la LB par l'USG sans TV ni VoIP ?

vincen

  • Abonné FAI autre
  • *
  • Messages: 149
  • Lausanne (CH)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #68 le: 11 juin 2017 à 10:11:48 »
Non il faut tout de même remplacer le dhclient3. Ou utiliser un switch manageable entre l'ONT et le routeur qui soit capable de faire la meme operation que le dhclient3 de zoc. Mais il faut faire soit l'un soit l'autre. Si tu fais un backup du dhclient3 d'origine sur l'USG c'est sans risque.
Oui et normalement je l'ai déja remplacé quand je faisais mes tests à l'époque ;)

Edit : et les XX ne correspondent pas à l adresse mac de la LB mais à l'identifiant fti/blablabla au format hexa.
oui c'est bien ce que je voulais dire  8)

Tu veux une recap du minimum à faire pour remplacer la LB par l'USG sans TV ni VoIP ?
Merci mais je crois que c'est bon non ?
-> remplacer le dhclient3 par la version de zoc
-> remplacer les XXXX dans le json par celui de son compte fti bien encodé
-> installer le script sur le controler et provisioner l'USG et ça doit rouler !

Bon faut juste que j'arrive à ssh sur ma cloud key (déja fait la manip du json sur des controleurs sur PC) parce que j'arrive pas à SSH dessus comme sur mes autres équipements Unifi ! Y'a une subtilité pour la Cloud Key ? rien trouvé sur le site d'Unifi et le login en root comme avec le même login que le controler ça marche pas :(

duch

  • Abonné Orange Fibre
  • *
  • Messages: 47
  • Rennes (35)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #69 le: 11 juin 2017 à 10:32:53 »
Citer
-> remplacer le dhclient3 par la version de zoc
-> remplacer les XXXX dans le json par celui de son compte fti bien encodé
-> installer le script sur le controler et provisioner l'USG et ça doit rouler !

+

-> modifier  /opt/vyatta/sbin/vyatta-interfaces.pl sur l'USG (idem tu l'as déjà fait normalement)
-> dans le contrôleur configurer le port WAN de l'USG en DHCP + créer le vlan 832

Pour SSH sur la cloudkey normalement c'est le même log/mdp que celui que tu as défini sur l'interface web de la cloudkey elle même, pas celui de ton user sur le controler UniFi (il me semble, j'ai mis la même chose pour les deux). Si ça ne fonctionne pas essaye de reconfigurer login et mot de passe (ipdelaCK:80 au lieu de :8443).

vincen

  • Abonné FAI autre
  • *
  • Messages: 149
  • Lausanne (CH)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #70 le: 11 juin 2017 à 11:30:57 »
+

-> modifier  /opt/vyatta/sbin/vyatta-interfaces.pl sur l'USG (idem tu l'as déjà fait normalement)
-> dans le contrôleur configurer le port WAN de l'USG en DHCP + créer le vlan 832

ah oki je pensais pas que la manip du fichier vyatta était encore nécessaire ;)

Pour SSH sur la cloudkey normalement c'est le même log/mdp que celui que tu as défini sur l'interface web de la cloudkey elle même, pas celui de ton user sur le controler UniFi (il me semble, j'ai mis la même chose pour les deux). Si ça ne fonctionne pas essaye de reconfigurer login et mot de passe (ipdelaCK:80 au lieu de :8443).
Ouais ben je crois surtout que cette merde de CloudKey va passer par la fenêtre !! Deux fois que je la resette complètement et toujours impossible de me logger à l'interface de gestion de la CK elle-même ou en SSH :( Franchement de plus en plus déçu du matos Unifi !! En plus il demande qu'un couple login/pass à la réinstallation et non un pour la CK et un pour le controler donc je suppose qu'il récupère login/pass de mon compte ubnt mais bon impossible de se connecter avec pour autant :(
« Modifié: 11 juin 2017 à 12:45:31 par vincen »

duch

  • Abonné Orange Fibre
  • *
  • Messages: 47
  • Rennes (35)
UniFi® Security Gateway en remplacement de la Livebox ?
« Réponse #71 le: 11 juin 2017 à 11:39:26 »
Je n'ai pas eu ce genre de soucis avec la mienne, contacte le support Ubiquiti si elle est toujours sous garantie.


Sinon tout ça marche aussi très bien avec le controller UniFi installé sur une VM ubuntu / debian ou sur un Raspberry Pi 3 sous raspbian.