Auteur Sujet: Votre Livebox dans Docker (Lu 2559 fois)

TheHecateII · « **Réponse #12 le:** 08 avril 2026 à 12:54:19 »

Pas de souci, je comprends que ça pouvait prêter à confusion

Pour faire simple les paquets DHCP qui passent par une règle nftables du type :

nft insert "rule netdev filter egress udp dport 67 meta priority set 0:6 ip dscp set cs6"
Sur une machine bare metal ou avec une émulation hardware type Intel E1000 sous Proxmox, le paquet DHCP part avec un wildcard correct : 0.0.0.0.68 > 255.255.255.255.67

Cependant, si l'hôte est virtualisé avec des drivers VirtIO, le wildcard passe à 0.0.255.255.68 > 255.255.255.255.67

Chez Orange, ce souci ne pose pas de problème, le DHCP nous répondra quand même.

basilix · « **Réponse #13 le:** **Hier** à 08:54:33 »

Selon une IA, ce problème proviendrait de Docker en mode pont et de la combinaison choisie. Elle recommande de se passer de Docker pour le DHCP ou de configurer
Docker avec Macvlan/Ipvlan. À vérifier, je ne suis pas compétent dans le domaine.

Citation de: ChatGPT

Tu cumules :
virtualisation réseau (Proxmox)
virtualisation OS (VM)
virtualisation réseau Docker

👉 Donc :

chaque couche déforme un peu plus le paquet DHCP

Et à la fin :
paquet mal formé
ou réponse jamais reçue

On remarque que cette configuration est bien plus complexe que celle annoncée (figurant) dans le dépôt GitHub du projet.

Le responsable du projet nftables n'a pas non plus réussi à reproduire un bogue potentiel qui serait lié à la virtualisation (testé avec QEMU).

L'IA indique également que Docker gère du réseau, mais n’est pas conçu pour remplacer un routeur (mauvaise isolation).

Fyr · « **Réponse #14 le:** **Hier** à 13:38:16 »

Citation de: basilix le Hier à 08:54:33

L'IA indique également que Docker gère du réseau, mais n’est pas conçu pour remplacer un routeur (mauvaise isolation).

c'est pas tellement l'isolation Faut juste que ce soit pas ton accès internet "principal"
Parce que mettre un routeur et serveur DHCP profondément enfoui au sein d'un réseau local, dans une VM, pour jouer un rôle "top" sommet/centre de l'architecture tu te retrouves avec un problème d'oeuf et de poule et rendre plus compliquer l'administration de ton LAN avec des confs statiques de partout. Après tu peux faire des choses rigolote : 2 acces dans des VM et tu peux deplacer tes VM sur un autre site distant pour assurer l'internet de ta boite

Le corollaire c'est que si tu peux mettre une box dans un docker/VM l'opérateur aussi. Et toi t'as juste un convertisseur media fibre RJ45 pour ton switch ou la fibre dans un SFP+ de ton switch et une saleté qui fait du wifi. Donc plus de livebox qui crame à remplacer. Plus de millions de matos en compta ou de cartons sur un trottoir de saint genis de pouilly. Plus de produits différents au catalogue. Plus de trucs rigolos pour les pros et de pra/pca des acces internet via d'autres établissements de la boite etc.

TheHecateII · « **Réponse #15 le:** **Hier** à 14:13:27 »

Citation de: basilix le Hier à 08:54:33

Selon une IA, ce problème proviendrait de Docker en mode pont et de la combinaison choisie. Elle recommande de se passer de Docker pour le DHCP ou de configurer
Docker avec Macvlan/Ipvlan. À vérifier, je ne suis pas compétent dans le domaine.

On remarque que cette configuration est bien plus complexe que celle annoncée (figurant) dans le dépôt GitHub du projet.

Le responsable du projet nftables n'a pas non plus réussi à reproduire un bogue potentiel qui serait lié à la virtualisation (testé avec QEMU).

L'IA indique également que Docker gère du réseau, mais n’est pas conçu pour remplacer un routeur (mauvaise isolation).

Comme indiqué, ce souci intervient uniquement quand les drivers de la carte sont en VirtIO ou bcmgenet (Raspberry donc sans virtu ). Une fois les NIC passés en émulation E1000 ou Realtek, plus aucun souci.

La version Bouygues du projet embarque un correctif en phase de test qui semble corriger ce souci (VM comme Bare metal tant que Debian 13 boot ça juste marche).
Le patch sera sûrement porté sur cette version même si cela ne semble pas bloquant chez Orange

(Dans le doute... autant le faire)

Citation de: Fyr le Hier à 13:38:16

c'est pas tellement l'isolation Faut juste que ce soit pas ton accès internet "principal"
Parce que mettre un routeur et serveur DHCP profondément enfoui au sein d'un réseau local, dans une VM, pour jouer un rôle "top" sommet/centre de l'architecture tu te retrouves avec un problème d'oeuf et de poule et rendre plus compliquer l'administration de ton LAN avec des confs statiques de partout. Après tu peux faire des choses rigolote : 2 acces dans des VM et tu peux deplacer tes VM sur un autre site distant pour assurer l'internet de ta boite

Dans des labs où la majorité de l'infra est virtualisée, cela reste à débattre

Mes deux fibres arrivent directement au cul du serveur pour finir dans leur VM respective, chacune isolée dans un bridge avec un port en slave pour leur WAN et le LAN dans le bridge de mon réseau local.

Fyr · « **Réponse #16 le:** **Hier** à 17:06:49 »

Citation de: TheHecateII le Hier à 14:13:27

Dans des labs où la majorité de l'infra est virtualisée, cela reste à débattre Mes deux fibres arrivent directement au cul du serveur pour finir dans leur VM respective, chacune isolée dans un bridge avec un port en slave pour leur WAN et le LAN dans le bridge de mon réseau local.

ouai mais les labs c'est pas de la prod :p t'as pas de SLA à racker quand ca se vautre, ni de mec d'astreinte...

apres sur un PC la fibre au popotin au moins tu partages le rien fouttage du CPU avec une autre VM

simon · « **Réponse #17 le:** **Hier** à 17:37:19 »

Citation de: TheHecateII le Hier à 14:13:27

Dans des labs où la majorité de l'infra est virtualisée, cela reste à débattre Mes deux fibres arrivent directement au cul du serveur pour finir dans leur VM respective, chacune isolée dans un bridge avec un port en slave pour leur WAN et le LAN dans le bridge de mon réseau local.

Si tu es le seul utilisateur, je suppose que c'est OK. Sinon, avoir les deux VM sur le même hyperviseur peut ou pas être problématique en cas de panne/redémarrage/mise à jour dudit hyperviseur.
Ca dépend de ce qu'il y a derrière. Dans mon dernier job d'employé, je gérais le réseau à mes heures perdues. 2 fibres, 2 routeurs OPNSense en failover sur deux alimentations redondées, pour être tranquille quand on a besoin de bosser sur l'infra et ne pas devoir rester à 11h le soir au bureau avant de tenter d'appliquer une mise à jour... sinon, tu peux être sur qu'en moins de 3 min, quelqu'un était sur ton dos parce "qu'il y a plus internet".

Depuis, je bosse seul, mes besoins sont bien plus souples. Un seul routeur openwrt derriere une fibre unique, et je m'arrange si jamais il y a un souci.

TheHecateII · « **Réponse #18 le:** **Hier** à 19:43:48 »

Citation de: simon le Hier à 17:37:19

Si tu es le seul utilisateur, je suppose que c'est OK. Sinon, avoir les deux VM sur le même hyperviseur peut ou pas être problématique en cas de panne/redémarrage/mise à jour dudit hyperviseur.
Ca dépend de ce qu'il y a derrière. Dans mon dernier job d'employé, je gérais le réseau à mes heures perdues. 2 fibres, 2 routeurs OPNSense en failover sur deux alimentations redondées, pour être tranquille quand on a besoin de bosser sur l'infra et ne pas devoir rester à 11h le soir au bureau avant de tenter d'appliquer une mise à jour... sinon, tu peux être sur qu'en moins de 3 min, quelqu'un était sur ton dos parce "qu'il y a plus internet".

Depuis, je bosse seul, mes besoins sont bien plus souples. Un seul routeur openwrt derriere une fibre unique, et je m'arrange si jamais il y a un souci.

Citation de: Fyr le Hier à 17:06:49

ouai mais les labs c'est pas de la prod :p t'as pas de SLA à racker quand ca se vautre, ni de mec d'astreinte...

L'hyperviseur est un Proxmox, et toute la maison profite de cette installation (parents, frère et même les chats ) sans réel souci. Je ne comprends pas cette pulsion maladive de transposer des besoins d'entreprise dans vos foyers, hahaha

.
À moins qu'un classico Paris-Marseille ne demande un SLA de 99,99 %

?

Le sujet de base du post, c’est le projet, pas de savoir si mon infrastructure répond à vos standards personnels :'(

basilix · « **Réponse #19 le:** **Aujourd'hui** à 08:30:49 »

@TheHecatell

Le projet est présenté avec beaucoup de zèle sans contours définis. Or, plusieurs aspects importants sont éludés.

De quel correctif s'agit-il ? De quel rapport de bogue s'agit-il ? Transformer un hôte en Livebox avec Docker ?

simon · « **Réponse #20 le:** **Aujourd'hui** à 09:38:52 »

Citation de: TheHecateII le Hier à 19:43:48

Je ne comprends pas cette pulsion maladive de transposer des besoins d'entreprise dans vos foyers, hahaha .

... mon post conclut justement sur le fait que différentes solutions conviennent à différentes situations ? Je ne l'ai pas explicitement écrit, j'aurai peut être dû.

basilix · « **Réponse #21 le:** **Aujourd'hui** à 10:40:24 »

Citation de: simon

... mon post conclut justement sur le fait que différentes solutions conviennent à différentes situations ? Je ne l'ai pas explicitement écrit, j'aurai peut être dû.

Ce projet c'est de l'enfumage.

Citation de: ChatGPT

Ce que décrit ce projet est techniquement crédible… mais avec des limites importantes.

En gros : ce n’est pas “émuler une Livebox”, c’est reproduire juste assez du comportement pour passer l’accès Internet.

Citation de: ChatGPT

Ce que ce projet est vraiment

un client WAN Orange minimaliste + un peu de routage.

Citation de: ChatGPT

1. Docker n’est pas au bon niveau système

Créer une interface VLAN + gérer DHCP bas niveau implique :

accès direct aux interfaces réseau
privilèges élevés (--privileged, NET_ADMIN)
dépendance forte au noyau Linux

👉 En pratique, ton conteneur devient presque… une VM déguisée.

[...]

3. Pas de gestion complète du réseau

Même si ça marche :
pas de Wi-Fi intégré
pas de gestion TV Orange (multicast, VLAN spécifiques)
VoIP très compliquée voire impossible
debugging pénible en cas de coupure

4. Stabilité et maintenance

[...]

Ton conteneur :
peut casser après une mise à jour Docker/Linux
demande maintenance manuelle
aucun support (et ajout de correctifs hétéroclites)

🎯 Verdict honnête

Techniquement possible → ✅ oui
Stable sur le long terme → ⚠️ incertain
Remplacement propre d’une Livebox → ❌ non
Solution de bidouille avancée / homelab → ✅ parfait

simon · « **Réponse #22 le:** **Aujourd'hui** à 11:05:51 »

On fait confiance à ChatGPT de nos jours pour évaluer la qualité/fonctionnalité d'un projet?
Je demande, je suis un vieux schnock. Je sais que dans le domaine dans lequel je bosse, tous les modèles que j'ai pu tester ne servent qu'à me faire perdre du temps (comprendre: sont bien présentés et convaincants, mais entre beaucoup et entièrement faux).

basilix · « **Réponse #23 le:** **Aujourd'hui** à 11:25:14 »

@simon :

Non, pas entièrement. Je me fie à une intuition en me basant sur des constats. Je n'ai pas les compétences mais je perçois l'écart avec ce qui est avancé.

Et visiblement cela percute dans mon esprit (ou pas toujours dans celui des autres). Il ne suffit pas de dire mais de démontrer. Rien n'a été démontré.