Auteur Sujet: UniFi® Security Gateway en remplacement de la Livebox ? (Lu 66539 fois)

ChoiZ · « **Réponse #132 le:** 20 août 2017 à 22:44:25 »

Hello,

J'ai fait l'aquisition d'un USG 3ports pour remplacer ma livebox.
J'ai suivi les différents tuto pour l'USG ainsi que le edgerouter.

J'ai modifié le dhcpclient3, ajouté le rfc3442-classless-routes, et utilisé le script_orange_eth0… et pour l'instant j'arrive a ping Internet depuis l'usg mais pas depuis mes postes.

Une idée de ce qu'il peut manquer pour router de l'eth0 vers eth1 et eth2 dans l'usg ?
Pour info voici les interfaces de l'USG :

$ show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface IP Address S/L Description
--------- ---------- --- -----------
eth0 - u/u
eth0.832 86.*.*.*/21 u/u
eth0.838 10.*.*.*/24 u/u
eth0.840 192.168.255.254/24 u/u
eth1 192.168.1.1/24 u/u
eth2 192.168.2.1/24 u/u
lo 127.0.0.1/8 u/u
::1/128

[EDIT 0:06] J'avais oublié d'ajouter le chmod 755 sur rfc3442-classless-routes

Maintenant j'ai un autre problème je n'arrive pas à avoir la TV, j'ai essayer de mettre dans la config la mac de la livebox (modem) et la mac de la livebox (tv) vu que certains se contredisent sur ce point de config mais le "send dhcp-client-identifier" ne change en rien mon problème :/

Pour info j'ai mis a jour le firmware de l'usg en version 4.3.49.5001150 pour être sur d'être bien à jour.

Autre question j'ai vu que certains disent de débrancher le contrôleur unifi ce que je fais bien entendu, mais du coup vous le reconnectez à un moment ? Car c'est quand même pratique pour voir le traffic utilisé etc… Sans le contrôleur c'est un peu useless non ?

mike78530 · « **Réponse #133 le:** 21 août 2017 à 09:49:24 »

Salut,

j'ai pas la TV mais il y a plusieurs choses à faire :

- Activer l'igmp et configurer le upstream + downstream
- S'assurer que le LAN (je suppose que c'est ton lan2) sur lequel est la box TV a bien le DNS d'orange, le mieux étant de le forcer
- Créer une règle NAT sur eth0.838

Pour le MAC il faut le mettre dans la VLAN 838 pas besoin de le mettre dans le 832 normalement

Pour le controleur, tu dois générer un fichier qui va ajouter des infos en plus de celles du controleur. Et ce petit fichier s'appel config.gateway.json

tu peux générer un config.gateway.json complet avec la commande sous ssh

Code: [Sélectionner]

mca-ctrl -t dump-cfg > config.gateway.jsonle fichier se trouvera sous /home/"ton_nom"/

Après il faudra épurer ce fichier pour ne garder que le contenu que tu as rajouté

Une fois épuré, tu le valide sur https://jsonlint.com/

Si c'est OK, tu peux l'enregistrer sur le controleur sous : ip_du_controler/data/sites/nom_du_site

Et c'est bon tu peux relancer le controleur (+ d'info https://help.ubnt.com/hc/en-us/articles/215458888-UniFi-How-to-further-customize-USG-configuration-with-config-gateway-json )

ChoiZ · « **Réponse #134 le:** 21 août 2017 à 22:24:32 »

Hello Mike,

Merci de tes précieux conseils.

J'avais en effet pas les DNS d'orange dans le LAN2 mais 192.168.2.1

Une fois mon USG tout configuré j'ai sauvé la config en utilisant la commande mca-ctrl … et j'ai importer dans le controleur ça fonctionne impecable !

Merci de ton aide en tout cas ;-)

Felisse · « **Réponse #135 le:** 24 août 2017 à 18:26:23 »

Hello ChoiZ,

Je viens d'avoir ma fibre Orange, et j'ai commencé à remplacer la/les Livebox par un USG-Pro (même version que toi).

Pour la partie Internet, j'ai aucun souci, merci à tous sur ce forum, c'est très clair !

Pour la partie TV par contre, ca coince.

J'utilise le script de mike78530, mais à cette étape, je n'accroche par d'@IP sur l'interface eth2.838:

Code: [Sélectionner]

root@Cerbere:/var/log# show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface    IP Address                        S/L  Description                 
---------    ----------                        ---  -----------                 
eth0         10.*.*.*/24                       u/u                              
eth1         -                                 A/D                              
eth2         -                                 u/u                              
eth2.832     92.*.*.*/23                  u/u                              
eth2.838     -                                 u/u                              
eth2.840     192.168.255.254/24                u/u                              
eth3         -                                 A/D                              
lo           127.0.0.1/8                       u/u                              
             ::1/128

J'imagine que je me plante qq part dans les options DHCP, mais j'avoue ne plus être sûr de rien...
Serait-il possible de partager ton config.gateway.json abouti STP ?

Merci pour ton aide,

Felisse · « **Réponse #136 le:** 25 août 2017 à 13:55:00 »

Bonjour à tous,

Je me réponds.

Mon problème venait que mon fichier rfc3442-classless-routes n'était pas bon (mauvaises permissions).

Du coup, maintenant, j'arrive bien à obtenir une adresse IP sur ce VLAN.

Je procède par étape sur l'implèmentation (d'abord paramétrer correctement - y compris via le fichier config.gateway.json - les interfaces "WAN", puis les règles NAT, etc...).
Sauf que lorsque j'obtiens mes interfaces WAN bien configurée via le CLI interne, que je fais un mca-ctrl -t dump-cfg, et que je recopie dans mon config.gateway.json, l'USG n'obtient plus (aucune) adresse IP.

Ce que j'utilise du script:

Code: [Sélectionner]

#!/bin/vbash
source /opt/vyatta/etc/functions/script-template

configure

set interfaces ethernet eth2 vif 832 dhcp-options client-option "send vendor-class-identifier &quot;sagem&quot;;"
set interfaces ethernet eth2 vif 832 dhcp-options client-option "send user-class &quot;\053FSVDSL_livebox.Internet.softathome.Livebox4&quot;;"
set interfaces ethernet eth2 vif 832 dhcp-options client-option "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;"
set interfaces ethernet eth2 vif 832 dhcp-options client-option "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
set interfaces ethernet eth2 vif 832 egress-qos "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"


set interfaces ethernet eth2 vif 838 address dhcp
set interfaces ethernet eth2 vif 838 dhcp-options client-option "send vendor-class-identifier &quot;sagem&quot;;"
set interfaces ethernet eth2 vif 838 dhcp-options client-option "send user-class &quot;\\047FSVDSL_livebox.MLTV.softathome.Livebox4&quot;;"
set interfaces ethernet eth2 vif 838 dhcp-options client-option "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;"
set interfaces ethernet eth2 vif 838 dhcp-options client-option "request subnet-mask, routers, rfc3442-classless-static-routes;"
set interfaces ethernet eth2 vif 838 dhcp-options default-route no-update
set interfaces ethernet eth2 vif 838 dhcp-options default-route-distance 210
set interfaces ethernet eth2 vif 838 dhcp-options name-server update
set interfaces ethernet eth2 vif 838 egress-qos "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"

set interfaces ethernet eth2 vif 840 address 192.168.255.254/24
set interfaces ethernet eth2 vif 840 egress-qos "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"

Ce que j'obtiens:

Code: [Sélectionner]

root@USG-PRO:/var/log# show interfaces
Codes: S - State, L - Link, u - Up, D - Down, A - Admin Down
Interface    IP Address                        S/L  Description                 
---------    ----------                        ---  -----------                 
eth0         10.*.*.*/24                       u/u                              
eth1         -                                 A/D                              
eth2         -                                 u/u                              
eth2.832     92.*.*.*/23                  u/u                              
eth2.838     10.*.*.*/22                  u/u                              
eth2.840     192.168.255.254/24                u/u                              
eth3         -                                 A/D                              
lo           127.0.0.1/8                       u/u                              
             ::1/128

Ce que je mets dans mon fichier config.gateway.json:

Code: [Sélectionner]

{
    "interfaces": {
        "ethernet": {
            "eth2": {
                "duplex": "auto",
                "speed": "auto",
                "vif": {
                    "832": {
                        "dhcp-options": {
                            "client-option": [
                                "retry 60;",
                                "send vendor-class-identifier &quot;sagem&quot;;",
                                "send user-class &quot;\\053FSVDSL_livebox.Internet.softathome.Livebox4&quot;;",
                                "send rfc3118-auth 00:00:00:00:00:00:00:00:00:00:00:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX:XX;",
                                "request subnet-mask, routers, domain-name-servers, domain-name, broadcast-address, dhcp-lease-time, dhcp-renewal-time, dhcp-rebinding-time, rfc3118-auth;"
                            ],
                            "default-route": "update"
                        },
                        "egress-qos": "0:0 1:0 2:0 3:0 4:0 5:0 6:6 7:0"
                    },
                    "838": {
                        "dhcp-options": {
                         	"client-option": [
                         		"send vendor-class-identifier &quot;sagem&quot;;",
                                "send user-class &quot;\\047FSVDSL_livebox.MLTV.softathome.Livebox4&quot;;",
                                "send dhcp-client-identifier 1:XX:XX:XX:XX:XX:XX;",
                                "request subnet-mask, routers, rfc3442-classless-static-routes;"
                            ],
                            "default-route": "no-update",
                            "default-route-distance": "210",
                            "name-server": "update"
                         },
                         "egress-qos": "0:4 1:4 2:4 3:4 4:4 5:4 6:4 7:4"
                    },
                    "840": {
                         "address": [
                                      "192.168.255.254/24"
                                    ],
                         "egress-qos": "0:5 1:5 2:5 3:5 4:5 5:5 6:5 7:5"
                    }
                }
            }
        }
    }
}

Avez-vous une idée SVP ?

Merci,
Philippe.

mike78530 · « **Réponse #137 le:** 25 août 2017 à 16:54:59 »

Salut,

tu copies comment ton contenu du cli sur le config.gateway.json ?

Parce que si tu le fais via Windows sans mettre le fichier texte au format linux c'est tout a fait normal alors que ton USG ne comprenne rien au contenu du config.gateway.json

ouvre ton config.gateway.json dans notepad++ et en bas a droite dans la barre tu dois avoir "UNIX(LF)", si c'est dans le mauvais format, tu auras "WINDOWS (CR LF)"

Donc vaut mieux passer par la commande mca-ctrl -t dump-cfg > config.gateway.json pour récupérer un fichier propre

EDIT : enlève ton identifiant orange dans ton code du config.gateway.json

Felisse · « **Réponse #138 le:** 25 août 2017 à 19:07:11 »

Merci, mais je ne dois pas avoir ces soucis, puisque je travaille uniquement en ligne de commande avec mon Mac (Unix de bout en bout donc).

D'autant plus que pour les premières étapes (à savoir récupérer Internet, donc uniquement sur le VLAN 832), je n'ai pas de soucis.
C'est dès que je rajoute la suite (des VLANs 838 et 840) que plus rien ne fonctionne (plus aucune @IP n'est acquise).

ChoiZ · « **Réponse #139 le:** 26 août 2017 à 14:29:28 »

Hello, désolé j'ai pas pu répondre plus tôt.

Je réinstall mon USG propre cette après midi.

Je vais documenter les étapes que j'ai fait car il y en a pas mal au final et c'est mieux d'avoir un post à jour pour les prochains ;-)

Je suis actuellement dans une boucle de provisionning avec mon controlleur.

Felisse · « **Réponse #140 le:** 26 août 2017 à 22:43:35 »

Hello ChoiZ,

Super nouvelle, pour moi et pour tout le monde.

Bon courage en tous cas !

ChoiZ · « **Réponse #141 le:** 26 août 2017 à 23:52:44 »

Hello Felisse,

J'ai fait un article sur mon blog https://www.choiz.fr

Par contre la config est carrèment fait a l’arrache j'ai 2 configs bref c'est une grosse daube mais ça fonctionne (net + tv) j'ai pas de tel donc je sais pas.

J'essayerai de remplacer les 2 configs par une seule plus tard.

Pour info j'ai l'ONT sur le port WAN, mon réseau en 192.168.1.1/24 sur le port LAN1, un réseau en 192.168.2.1/24 sur le port LAN2 / WAN2.

Perso j'utilise un USG 3 chez moi (j'ai des USG pro au bureau) la différence c'est que l'USG3 a un port eth en moins et 2 ports SFP en moins également. L'usg 3 est fait pour 200+ users l'usg pro pour 2000+ users.

Au final ma conf devrait être OK chez toi t'auras juste un port ETH non configuré.

Tiens moi au courant ;-)

majax · « **Réponse #142 le:** 28 août 2017 à 00:20:36 »

Salut à tous.

Très curieux par votre sujet

J'ai la fibre qui ce déploie dans mon quartier ( vivement !! ), actuellement j'ai la box sfr en coax, mis en bridge sur une récup de pc ( enfin de cm .. ) ou pfsense y tourne, j'ai un cisco 2960G pour faire le dispatche et vlan, un dédié avec vm et enfin un tout dernier arrivé, une borne Unifi lite ! trés sympa comme matos et le contrôleur et leur appli mobile est vraiment sympa ! ..
ça fait un moment que je regarde les sujets sur l'ERL mais si je peux mettre un USG ça serais top ..

Je me posais en question:
j'ai vu que vous prenez un ont et sfp .. mais dans mon cas, je peux faire, Boitier orange > sfp > cisco 2960G > Vlan > USG et en sorti de retour le 2960G pour dispatch .. ?? ( sur mon 2960G j'ai 4 uplink en dual, ethernet & sfp )

Perso la tv .. m'en passe, le tel par contre je garde!
Savoir aussi tout ce que l'on peut géré sur l'USG ?! sur mon pfsense, j'ai un dhcp, vlan, vpn, dns resolver .. j'aimerais ne pas m'amusé a crée une vm pour faire certain service :/

mike78530 · « **Réponse #143 le:** 28 août 2017 à 13:04:53 »

Citation de: majax le 28 août 2017 à 00:20:36

Salut à tous.

Très curieux par votre sujet
J'ai la fibre qui ce déploie dans mon quartier ( vivement !! ), actuellement j'ai la box sfr en coax, mis en bridge sur une récup de pc ( enfin de cm .. ) ou pfsense y tourne, j'ai un cisco 2960G pour faire le dispatche et vlan, un dédié avec vm et enfin un tout dernier arrivé, une borne Unifi lite ! trés sympa comme matos et le contrôleur et leur appli mobile est vraiment sympa ! ..
ça fait un moment que je regarde les sujets sur l'ERL mais si je peux mettre un USG ça serais top ..

Je me posais en question:
j'ai vu que vous prenez un ont et sfp .. mais dans mon cas, je peux faire, Boitier orange > sfp > cisco 2960G > Vlan > USG et en sorti de retour le 2960G pour dispatch .. ?? ( sur mon 2960G j'ai 4 uplink en dual, ethernet & sfp )

Perso la tv .. m'en passe, le tel par contre je garde!
Savoir aussi tout ce que l'on peut géré sur l'USG ?! sur mon pfsense, j'ai un dhcp, vlan, vpn, dns resolver .. j'aimerais ne pas m'amusé a crée une vm pour faire certain service :/

Salut, il faut être certain que ton 2960G est capable de gérer un SFP ONT GPON (hé oui c'est pas un SPF tout bête) si c'est pas le cas il faudra faire :
Boitier orange > ONT > USG > 2960G > Ton pc
> Livebox > TEL

Pour le tel aucun problème tu branche la livebox sur ton 2960G et ca roule

Pour les fonctions, c'est les mêmes qu'un ERL (dhcp, vlan, vpn...)