Auteur Sujet: UniFi® Security Gateway en remplacement de la Livebox ? (Lu 66777 fois)

thefa · « **Réponse #84 le:** 13 juin 2017 à 23:24:19 »

Pour info, sur le pro je vois ça :

Architecture:          mips64
Byte Order:            Big Endian
CPU(s):                2
On-line CPU(s) list:   0,1
Thread(s) per core:    1
Core(s) per socket:    1
Socket(s):             2
L1d cache:             32K
L1i cache:             37K
L2 cache:              1024K

mike78530 · « **Réponse #85 le:** 17 juin 2017 à 11:30:11 »

Duch, aurais-tu fais un config.gateway.json avec toutes les infos relatives à l'ipv6 qui serait partageable ?

Je suis en pleine config et si tu avais ce fichier cela m'aiderais grandement

~~Aussi, utilises-tu des VLAN sur ETH1 ?~~

Edit : je supprime ma question sur le VLAN car sur le vlan je reste en ipv4, la livebox TV n'aura pas besoin de l'ipv6 ^^. d'ici la je mène mes petits tests avant l'arrivée de la fibre dans 2-3 mois

duch · « **Réponse #86 le:** 17 juin 2017 à 11:42:55 »

Code: [Sélectionner]

{
    "firewall": {
        "ipv6-name": {
            "WANv6_IN": {
                "default-action": "drop",
                "description": "WANv6 inbound traffic forwarded to LAN",
                "rule": {
                    "10": {
                        "action": "accept",
                        "description": "Allow established/related",
                        "state": {
                            "established": "enable",
                            "related": "enable"
                        }
                    },
                    "20": {
                        "action": "drop",
                        "description": "Drop invalid state",
                        "state": {
                            "invalid": "enable"
                        }
                    },
                    "30": {
                        "action": "accept",
                        "description": "Allow ICMPv6",
                        "log": "disable",
                        "protocol": "icmpv6"
                    }
                }
            },
            "WANv6_LOCAL": {
                "default-action": "drop",
                "description": "WANv6 inbound traffic to the router",
                "rule": {
                    "10": {
                        "action": "accept",
                        "description": "Allow established/related",
                        "state": {
                            "established": "enable",
                            "related": "enable"
                        }
                    },
                    "20": {
                        "action": "drop",
                        "description": "Drop invalid state",
                        "state": {
                            "invalid": "enable"
                        }
                    },
                    "30": {
                        "action": "accept",
                        "description": "Allow ICMPv6",
                        "log": "disable",
                        "protocol": "icmpv6"
                    },
                    "40": {
                        "action": "accept",
                        "description": "Allow DHCPv6",
                        "destination": {
                            "port": "546"
                        },
                        "protocol": "udp",
                        "source": {
                            "port": "547"
                        }
                    }
                }
            },
            "WANv6_OUT": {
                "default-action": "accept",
                "description": "WANv6 outbound traffic",
                "rule": {
                    "10": {
                        "action": "accept",
                        "description": "Allow established/related",
                        "state": {
                            "established": "enable",
                            "related": "enable"
                        }
                    },
                    "20": {
                        "action": "reject",
                        "description": "Reject invalid state",
                        "state": {
                            "invalid": "enable"
                        }
                    }
                }
            }
        }
    },
    "interfaces": {
        "ethernet": {
            "eth0": {
                "description": "WAN Orange",
                "duplex": "auto",
                "speed": "auto",
                "vif": {
                    "832": {
                        "description": "VLAN Internet Orange",
                        "dhcp-options": {
                            "client-option": [
                                "retry 60;",
                                "send vendor-class-identifier &quot;sagem&quot;;",
                                "send user-class &quot;\\053FSVDSL_livebox.Internet.softathome.Livebox4&quot;;",
                                "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;",
                                "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
                            ],
                            "default-route": "update"
                        },
                        "egress-qos": "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0",
                        "firewall": {
                            "in": {
                                "ipv6-name": "WANv6_IN"
                            },
                            "local": {
				"ipv6-name": "WANv6_LOCAL"
                            },
                            "out": {
				"ipv6-name": "WANv6_OUT"
                            }
                        },
                        "ipv6": {
                            "address": {
                                "autoconf": "''"
                            },
                            "dup-addr-detect-transmits": "1"
                        }
                    }
                }
            },
            "eth1": {
                "ipv6": {
                    "dup-addr-detect-transmits": "1",
                    "router-advert": {
                        "cur-hop-limit": "64",
                        "link-mtu": "0",
                        "managed-flag": "false",
                        "max-interval": "600",
                        "other-config-flag": "false",
                        "prefix": {
                            "::/64": {
                                "autonomous-flag": "true",
                                "on-link-flag": "true",
                                "preferred-lifetime": "14400",
                                "valid-lifetime": "18000"
                            }
                        },
                        "reachable-time": "0",
                        "retrans-timer": "0"
                    }
                }
            }
        }
    }
}

J'ai retiré des sections perso (clé SSH and co), donc passe un petit coup de python -m json.tool avant pour être sur que je n'ai pas cassé le json.

Je n'utilise pas de VLAN sur ETH1 ou ETH2 pour le moment.

mike78530 · « **Réponse #87 le:** 17 juin 2017 à 11:54:31 »

Merci beaucoup Duch

j'ai trouvé une pépite dans mon fichier grâce au tient

Je vais rajouter après les infos pour la TV et ça devrait rouler

je vais essayer de poster un fichier avec la totale pour les prochains

Merci encore

mike78530 · « **Réponse #88 le:** 17 juin 2017 à 11:57:58 »

j'ai une question aussi sur ton fichier, tu fais une règle WANv6_OUT, quelle est son role ? car c'est la 1ère fois que je vois ce type de règle

Edit : est ce que ca ne suffirait pas juste ca (comme en ipv4) :

Code: [Sélectionner]

                        "WAN_OUT-6": {
                                "default-action": "accept",
                                "description": "packets to internet"
                }

duch · « **Réponse #89 le:** 17 juin 2017 à 12:53:30 »

Elle n'a aucun rôle, elle n'est là que parce qu'elle était dans la configuration que j'ai récupéré et converti en .json, je sais qu'elle ne sert à rien mais j'ai eu la flemme de l'enlever

Effectivement faire comme en IPv4 est parfaitement suffisant.

alizou · « **Réponse #90 le:** 22 juin 2017 à 08:11:03 »

Citation de: mike78530 le 17 juin 2017 à 11:54:31

Merci beaucoup Duch j'ai trouvé une pépite dans mon fichier grâce au tient

Je vais rajouter après les infos pour la TV et ça devrait rouler

je vais essayer de poster un fichier avec la totale pour les prochains

Merci encore

hello,

client fibre orange depuis 3-4 semaines, je suis preneur de ton fichier de config des qu'il est dispo pour pouvoir remettre mon USG au coeur de mon reseau!

merci d'avance

mike78530 · « **Réponse #91 le:** 22 juin 2017 à 19:14:45 »

Yop,

voici un fichier non testé (car toujours pas la fibre) qui marcherait si et seulement si :

- tu as paramétré le VLAN 832 dans WAN1 sur l'Unifi Controller
- copié et configuré tous les fichiers pour l'ipv4 + ipv6
- remplacé les xx:xx:xx... dans le config.gateway.json (identifiant fti/... + adresse mac de la livebox)
- vérifié que le numéros de la règle du NAT (6004 ici) dans le config.gateway.json est compatible avec ce qu'il y a dans le config.boot sur l'usg (normalement tu devrais avoir la dernière règle à 6003, si c'est pas le cas ajuster le n° dans le config.gateway.json)
- reboot l'usg

une fois tout ca fait, copier le config.gateway.json sur le controller et faire un provisionning et la tu pries pour que ça marche

Remarque sur mon script: quand je déboule tout le script d'un coup j'ai une erreur sur la création du NAT, ce qui me donne un "commit fail" mais taper les commandes à la main une à une ça marche...

PS: attention à bien mettre le DNS d'orange pour la TV

alizou · « **Réponse #92 le:** 23 juin 2017 à 11:21:06 »

Cool merci. Je test des mon retour de vacances

mike78530 · « **Réponse #93 le:** 26 juin 2017 à 14:02:45 »

Citation de: alizou le 23 juin 2017 à 11:21:06

Cool merci. Je test des mon retour de vacances

j'ai découvert qu'il manque une partie dans mon fichier de config, à cause de ce manque, la TV ne devrait pas marcher.

En fait, il manque les parametres globaux dans la conf service/dhcp-server:

Code: [Sélectionner]

global-parameters "option rfc3118-auth code 90 = string;"
global-parameters "option SIP code 120 = string;"

Je posterais le config.gateway.json mis a jour dans la semaine

duch · « **Réponse #94 le:** 27 juin 2017 à 13:56:17 »

Si jamais vous mettez à jour le firmware de l'USG, n'oubliez pas que ça efface tout ce qui n'est pas d'origine, donc pensez bien à sauvegarder ailleurs tous les fichiers ou executables modifiés.

vincen · « **Réponse #95 le:** 03 juillet 2017 à 09:12:29 »

Après avoir été un peu pris par le boulot ces derniers jours je reviens un peu aux nouvelles pour savoir si l'un de vous a réussi à faire marcher le truc sur une USG Pro comme celle que j'ai ? (2 LAN / 2 WAN / 2 FIBRE) ??

Merci bien